Raccogliere i log di Salesforce
Supportato in:
Google SecOps
SIEM
Questo documento spiega come raccogliere i log di Salesforce configurando un feed Google Security Operations utilizzando l'API di terze parti.
Salesforce è una piattaforma di gestione delle relazioni con i clienti (CRM) basata su cloud che fornisce strumenti per vendite, servizi, marketing e dati e analisi. I log di Salesforce acquisiscono l'attività utente, gli eventi di sicurezza, le modifiche al sistema e l'utilizzo delle API sulla piattaforma.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Salesforce Enterprise Edition o versioni successive (accesso API abilitato)
- Licenza Salesforce Shield Event Monitoring abilitata (necessaria per l'accesso a
EventLogFile) - Autorizzazioni di amministratore di sistema Salesforce
- OpenSSL installato (per la generazione di certificati)
Generare coppia di chiave RSA e certificato
Genera una chiave privata RSA e un certificato X.509 autofirmato per la firma JWT.
Genera chiave privata
Genera la chiave in formato PKCS#8. Il feed Google SecOps accetta solo chiavi PKCS#8 (intestazione
-----BEGIN PRIVATE KEY-----); le chiavi PKCS#1 legacy (-----BEGIN RSA PRIVATE KEY-----) causano errori di analisi durante la creazione del feed.openssl genpkey -algorithm RSA -out salesforce_private.key -pkeyopt rsa_keygen_bits:2048
Genera certificato autofirmato
Utilizza la chiave privata per generare un certificato X.509 autofirmato valido per 365 giorni.
openssl req -new -x509 -key salesforce_private.key -out salesforce_certificate.crt -days 365
Quando richiesto, inserisci i dettagli del certificato:
- Nome paese: inserisci il codice paese di due lettere (ad esempio,
US). - Nome della regione o della provincia: inserisci la tua regione (ad esempio,
California). - Nome località: inserisci la tua città (ad esempio,
San Francisco). - Nome organizzazione: inserisci il nome della tua organizzazione (ad esempio,
Acme Corp). - Nome unità organizzativa: inserisci il reparto (ad esempio,
IT Security). - Nome comune: inserisci un nome descrittivo (ad esempio,
SecOps Integration). - Indirizzo email: inserisci l'email di contatto.
Crea l'app client esterna Salesforce
Le app client esterne sono il metodo consigliato per l'autenticazione OAuth in Salesforce (Spring '26 e versioni successive).
- Accedi a Salesforce.
- Vai a Configurazione (icona a forma di ingranaggio in alto a destra).
- Nella casella Ricerca rapida, inserisci
External Client Apps. - Fai clic su External Client App Manager (Gestione app client esterne).
- Fai clic su New External Client App (Nuova app client esterna).
Configurare le informazioni di base
- Fornisci i seguenti dettagli di configurazione:
- Nome app client esterno: inserisci un nome descrittivo (ad esempio,
Google SecOps Integration). - Nome API: compilato automaticamente in base al nome dell'app. Lascia il valore predefinito o personalizzalo.
- Email di contatto: inserisci il tuo indirizzo email.
- Stato della distribuzione: seleziona Locale.
- Nome app client esterno: inserisci un nome descrittivo (ad esempio,
- Fai clic su Continua.
Abilita le impostazioni OAuth
- Seleziona la casella di controllo Enable OAuth (Abilita OAuth).
- Fornisci i seguenti dettagli di configurazione:
- Callback URL: inserisci
https://login.salesforce.com/services/oauth2/callback.
- Callback URL: inserisci
- Nella sezione Ambiti OAuth, sposta i seguenti ambiti da Ambiti OAuth disponibili ad Ambiti OAuth selezionati:
- Gestire i dati utente tramite API (api)
- Esegui richieste in qualsiasi momento (refresh_token, offline_access) (refresh_token, offline_access)
Attiva il flusso di concessione JWT e carica il certificato
- Nella sezione Abilitazione flusso, seleziona la casella di controllo Abilita flusso di concessione JWT.
- Viene visualizzata la sezione Caricamento certificato.
- Fai clic su Carica file o trascina il file del certificato.
- Seleziona il file
salesforce_certificate.crt. - Attendi il completamento del caricamento. Il nome del file del certificato dovrebbe essere visualizzato sotto il pulsante di caricamento.
Configurare le policy OAuth
- Nella sezione OAuth Policies (Policy OAuth):
- Utenti autorizzati: seleziona Gli utenti approvati dall'amministratore sono preautorizzati.
- Fai clic su Salva.
Ottieni la chiave utente
Dopo aver creato l'app client esterna, recupera la chiave consumer per la configurazione del feed Google SecOps.
- In External Client App Manager, fai clic sul nome dell'app (ad esempio,
Google SecOps Integration). - Vai alla scheda Impostazioni.
- Nella sezione OAuth settings (Impostazioni OAuth), fai clic su Consumer key and secret (Chiave utente e secret).
- Copia e salva il valore di Consumer Key.
Formato della chiave utente di esempio:
3MVG9IKcPoNiNVBIPjdw4z.pcfRjTFBp7xC8x9k4U8jZ0HlLQdPqX5bKjR8yNzQ9_YvY.8xD3F2W6nXb5YgNx
Preautorizza l'app client esterna
Salesforce richiede la preautorizzazione per il flusso JWT Bearer. Preautorizza assegnando l'app client esterna a un utente tramite l'insieme di autorizzazioni.
Crea set di autorizzazioni
- Vai a Configurazione > Utenti > Set di autorizzazioni.
- Fai clic su New (Nuovo).
- Fornisci i seguenti dettagli di configurazione:
- Etichetta: inserisci
SecOps Integration Users(ad esempio). - Nome API: compilato automaticamente in base all'etichetta.
- Etichetta: inserisci
- Fai clic su Salva.
Assegnare il set di autorizzazioni all'app client esterna
- Vai a Configurazione > Gestore app client esterni.
- Fai clic sull'app client esterno (ad esempio,
Google SecOps Integration). - Fai clic sulla scheda Norme.
- Nella sezione Norme app, in Seleziona set di autorizzazioni:
- Sposta il set di autorizzazioni (ad esempio
SecOps Integration Users) da Set di autorizzazioni disponibili a Set di autorizzazioni selezionati.
- Sposta il set di autorizzazioni (ad esempio
- Fai clic su Salva.
Assegnare un insieme di autorizzazioni all'utente
- Nella pagina dei dettagli del set di autorizzazioni, fai clic su Gestisci assegnazioni.
- Fai clic su Aggiungi assegnazioni.
- Seleziona la casella di controllo accanto all'account utente che verrà utilizzato per l'integrazione di Google SecOps (ad esempio,
integration@acme.com). - Fai clic su Assegna.
- Fai clic su Fine.
Configura un feed in Google SecOps per importare i log di Salesforce
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Nella pagina successiva, fai clic su Configura un singolo feed.
- Nel campo Nome feed, inserisci un nome per il feed (ad esempio,
Salesforce EventLogFile). - Seleziona API di terze parti come Tipo di origine.
- Seleziona SALESFORCE come Tipo di log.
- Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- Nome host API: inserisci il nome host dell'istanza Salesforce (ad esempio,
acme.my.salesforce.com).
- Endpoint JWT OAuth: inserisci l'URL dell'endpoint del token OAuth. Il parametro di ricerca
grant_typeè obbligatorio per il recupero dei feed di Google SecOps e deve essere aggiunto all'URL esattamente come mostrato:- Organizzazioni di produzione:
https://login.salesforce.com/services/oauth2/token?grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer - Organizzazioni sandbox:
https://test.salesforce.com/services/oauth2/token?grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer - Il mio dominio:
https://acme.my.salesforce.com/services/oauth2/token?grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer
- Organizzazioni di produzione:
- Emittente delle rivendicazioni JWT: inserisci la chiave utente dell'app client esterna.
- JWT Claims Subject (Soggetto delle attestazioni JWT): inserisci il nome utente Salesforce dell'utente preautorizzato (ad esempio,
integration@acme.com). - JWT Claims Audience (Pubblico delle rivendicazioni JWT): inserisci l'URL del server di autorizzazione. Utilizza solo uno dei due valori riportati di seguito; non sostituire un URL di My Domain, perché Salesforce lo rifiuta durante la convalida della firma JWT:
- Organizzazioni di produzione e organizzazioni Il mio dominio:
https://login.salesforce.com - Organizzazioni sandbox:
https://test.salesforce.com
- Organizzazioni di produzione e organizzazioni Il mio dominio:
Chiave privata RSA: incolla i contenuti completi della chiave privata PKCS#8, inclusi i marcatori
-----BEGIN PRIVATE KEY-----e-----END PRIVATE KEY-----. L'intestazione e il piè di pagina non devono contenere la parolaRSA. Una chiave con-----BEGIN RSA PRIVATE KEY-----(PKCS#1) viene rifiutata dal parser dei feed.Per ottenere i contenuti della chiave privata:
cat salesforce_private.key
Copia l'intero output, incluse le righe di intestazione e piè di pagina.
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
- Nome host API: inserisci il nome host dell'istanza Salesforce (ad esempio,
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.
Riferimento ai tipi di istanza Salesforce
I valori dell'endpoint e del pubblico JWT OAuth dipendono dal tipo di istanza Salesforce:
| Tipo di istanza | Endpoint JWT OAuth | Pubblico delle attestazioni JWT | Formato del nome host API |
|---|---|---|---|
| Produzione | https://login.salesforce.com/services/oauth2/token?grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer |
https://login.salesforce.com |
company.my.salesforce.com |
| Sandbox | https://test.salesforce.com/services/oauth2/token?grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer |
https://test.salesforce.com |
company--sandbox.sandbox.my.salesforce.com |
| Il mio dominio | https://domain.my.salesforce.com/services/oauth2/token?grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer |
https://login.salesforce.com |
domain.my.salesforce.com |
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logica |
|---|---|---|
ApiType_label |
additional.fields |
Unita |
ApiVersion_label |
additional.fields |
Unita |
Application_label |
additional.fields |
Unita |
AuthMethodReference_label |
additional.fields |
Unita |
Browser_label |
additional.fields |
Unita |
ConnectedAppId_label |
additional.fields |
Unita |
CountryIso_label |
additional.fields |
Unita |
CreatedByContext_label |
additional.fields |
Unita |
CreatedById_label |
additional.fields |
Unita |
CreatedByIssuer_label |
additional.fields |
Unita |
CreatedBy_FederationIdentifier_label |
additional.fields |
Unita |
CreatedDate_label |
additional.fields |
Unita |
DeviceSessionId_label |
additional.fields |
Unita |
EffectivePageTimeDeviationReason_label |
additional.fields |
Unita |
EffectivePageTime_label |
additional.fields |
Unita |
Entityid_label |
additional.fields |
Unita |
EventIdentifier_label |
additional.fields |
Unita |
EventUuid_label |
additional.fields |
Unita |
FederationIdentifier_label |
additional.fields |
Unita |
HasEffectivePageTimeDeviation_label |
additional.fields |
Unita |
Id_label |
additional.fields |
Unita |
LoginGeoId_label |
additional.fields |
Unita |
LoginHistoryId_label |
additional.fields |
Unita |
LoginKey_label |
additional.fields |
Unita |
LoginSubType_label |
additional.fields |
Unita |
LoginType_label |
additional.fields |
Unita |
NetId_label |
additional.fields |
Unita |
NetworkId_label |
additional.fields |
Unita |
Operation_label |
additional.fields |
Unita |
OptionsIsGet_label |
additional.fields |
Unita |
OptionsIsPost_label |
additional.fields |
Unita |
Platform_label |
additional.fields |
Unita |
PolicyId_label |
additional.fields |
Unita |
PreviousPageAppName_label |
additional.fields |
Unita |
PreviousPageEntityType_label |
additional.fields |
Unita |
QueriedEntities_label |
additional.fields |
Unita |
RelatedEventIdentifier_label |
additional.fields |
Unita |
RequestIdentifier_label |
additional.fields |
Unita |
RowsProcessed_label |
additional.fields |
Unita |
RowsReturned_label |
additional.fields |
Unita |
SdkVersion_label |
additional.fields |
Unita |
SessionKey_label |
additional.fields |
Unita |
SessionLevel_label |
additional.fields |
Unita |
Subdivision_label |
additional.fields |
Unita |
api_token_label |
additional.fields |
Unita |
api_type_label |
additional.fields |
Unita |
auth_service_id_label |
additional.fields |
Unita |
auth_token |
additional.fields |
Unita |
browser_version_label |
additional.fields |
Unita |
channel_label |
additional.fields |
Unita |
connection_type_label |
additional.fields |
Unita |
customerName_label |
additional.fields |
Unita |
datacell_label |
additional.fields |
Unita |
decoded_body_size_label |
additional.fields |
Unita |
delegate_user_label |
additional.fields |
Unita |
device_label |
additional.fields |
Unita |
device_platform |
additional.fields |
Mappato: : → device_label |
done_label |
additional.fields |
Unita |
encoded_body_size_label |
additional.fields |
Unita |
evaluation_time_label |
additional.fields |
Unita |
event_id |
additional.fields |
Mappato: `"LightningInteraction", "LightningPerformance", "LightningPageView", "LightningUriE... |
initiator_type_label |
additional.fields |
Unita |
login_key_label |
additional.fields |
Unita |
loginkey_label |
additional.fields |
Unita |
map_field |
additional.fields |
Unita |
next_hop_protocol_label |
additional.fields |
Unita |
page_app_name_label |
additional.fields |
Unita |
page_context_label |
additional.fields |
Unita |
page_entity_id_label |
additional.fields |
Unita |
page_entity_type_label |
additional.fields |
Unita |
page_url_label |
additional.fields |
Unita |
parent_ui_element_label |
additional.fields |
Unita |
platform_label |
additional.fields |
Unita |
postal_code_label |
additional.fields |
Unita |
redirect_start_label |
additional.fields |
Unita |
render_blocking_status_label |
additional.fields |
Unita |
replayId_label |
additional.fields |
Unita |
request_start_label |
additional.fields |
Unita |
response_end_label |
additional.fields |
Unita |
response_start_label |
additional.fields |
Unita |
responsible_namespace_prefix_label |
additional.fields |
Unita |
schemaId_label |
additional.fields |
Unita |
schema_label |
additional.fields |
Unita |
section_label |
additional.fields |
Unita |
server_request_id_label |
additional.fields |
Unita |
target_ui_element_label |
additional.fields |
Unita |
totalSize_label |
additional.fields |
Unita |
transfer_size_label |
additional.fields |
Unita |
ts_label |
additional.fields |
Unita |
ui_event_id_label |
additional.fields |
Unita |
ui_event_sequence_num_label |
additional.fields |
Unita |
ui_event_source_label |
additional.fields |
Unita |
ui_event_timestamp_label |
additional.fields |
Unita |
ui_event_type_label |
additional.fields |
Unita |
ui_root_activity_id_label |
additional.fields |
Unita |
ui_thread_response_delay_label |
additional.fields |
Unita |
worker_start_label |
additional.fields |
Unita |
Login_type |
extensions.auth.auth_details |
Mappato direttamente |
auth.mechanism |
extensions.auth.mechanism |
Unita |
csv_format |
extensions.auth.mechanism |
Mappato: false → auth.mechanism |
event_id |
extensions.auth.mechanism |
Mappato: Login: Success → auth.mechanism |
mechanism |
extensions.auth.mechanism |
Unita |
LoginType |
extensions.auth.type |
Mappato: Application → AUTHTYPE_UNSPECIFIED |
csv_format |
extensions.auth.type |
Mappato: false → AUTHTYPE_UNSPECIFIED |
event_id |
extensions.auth.type |
Valori mappati (8 in totale, ad es. `"IdentityProviderEventStore", "LoginEventStream", "WaveDownloa... |
logintype |
extensions.auth.type |
Mappato: SAML Sfdc Initiated SSO → SSO |
intermediary_ip |
intermediary.ip |
Unita |
user_name |
intermediary.user.user_display_name |
Mappato direttamente |
userid |
intermediary.user.userid |
Mappato direttamente |
Report_description |
metadata.description |
Mappato direttamente |
data.properties.Description.str |
metadata.description |
Mappato direttamente |
metadata_description |
metadata.description |
Mappato direttamente |
properties.Description |
metadata.description |
Mappato direttamente |
@timestamp |
metadata.event_timestamp |
Analizzato come ISO8601 |
LoginTime |
metadata.event_timestamp |
Analizzato come yyyy-MM-ddTHH:mm:ss.SSS+0000 |
TIMESTAMP |
metadata.event_timestamp |
Analizzato come UNIX |
TIMESTAMP_DERIVED |
metadata.event_timestamp |
Analizzato come ISO8601 |
User.LastLoginDate |
metadata.event_timestamp |
Analizzato come yyyy-MM-ddTHH:mm:ss.SSS+0000 |
collected_timestamp |
metadata.event_timestamp |
Analizzato come yyyyMMddHHmmss |
column6 |
metadata.event_timestamp |
Analizzato come yyyyMMddHHmmss |
createdAt |
metadata.event_timestamp |
Analizzato come UNIX |
detail.payload.EventDate |
metadata.event_timestamp |
Analizzato come ISO8601 |
payload.EventDate |
metadata.event_timestamp |
Analizzato come ISO8601 |
properties.EventDate |
metadata.event_timestamp |
Analizzato come ISO8601 |
recordDate |
metadata.event_timestamp |
Analizzato come UNIX_MS |
startTime |
metadata.event_timestamp |
Analizzato come MMM d yyyy, HH:mm:ss:SSS |
time_stamp |
metadata.event_timestamp |
Analizzato come YYYY-MM-ddTHH:mm:ss |
timestamp |
metadata.event_timestamp |
Analizzato come yyyyMMddHHmmss |
ts_date |
metadata.event_timestamp |
Analizzato come yyyy-MM-dd HH:mm:ss.SSSZ |
event_type |
metadata.event_type |
Mappato: "", "GENERIC_EVENT" → USER_UNCATEGORIZED, "", "GENERIC_EVENT" → `NETWORK_CONNE... |
principal_machine_id_present |
metadata.event_type |
Mappato: true → NETWORK_CONNECTION, true → STATUS_UPDATE |
principal_user_present |
metadata.event_type |
Mappato: true → USER_UNCATEGORIZED |
label |
metadata.ingestion_labels |
Unita |
resource_name |
metadata.ingestion_labels |
Mappato: `"ReportEvent","SessionHijackingEventStore","BulkApiResultEventStore","CredentialStu... |
action |
metadata.product_event_type |
Mappato direttamente |
attrs.cat |
metadata.product_event_type |
Mappato direttamente |
event_id |
metadata.product_event_type |
Mappato direttamente |
name |
metadata.product_event_type |
Mappato direttamente |
REQUEST_ID |
metadata.product_log_id |
Mappato direttamente |
column9 |
metadata.product_log_id |
Mappato direttamente |
data.properties.EventIdentifier.str |
metadata.product_log_id |
Mappato direttamente |
event_identifier |
metadata.product_log_id |
Mappato direttamente |
id |
metadata.product_log_id |
Mappato direttamente |
payload.EventIdentifier |
metadata.product_log_id |
Mappato direttamente |
product_log_id |
metadata.product_log_id |
Mappato direttamente |
properties.EventIdentifier |
metadata.product_log_id |
Mappato direttamente |
ClientVersion |
metadata.product_version |
Mappato direttamente |
payload.ClientVersion |
metadata.product_version |
Mappato direttamente |
data.properties.LoginUrl.str |
metadata.url_back_to_product |
Mappato direttamente |
data.properties.PageUrl.str |
metadata.url_back_to_product |
Mappato direttamente |
payload.PreviousPageUrl |
metadata.url_back_to_product |
Mappato direttamente |
protocol |
network.application_protocol |
Mappato direttamente |
METHOD |
network.http.method |
Mappato direttamente |
data.properties.HttpMethod.str |
network.http.method |
Mappato direttamente |
method |
network.http.method |
Mappato direttamente |
payload.HttpMethod |
network.http.method |
Mappato direttamente |
properties.HttpMethod |
network.http.method |
Mappato direttamente |
properties.UserAgent |
network.http.parsed_user_agent |
Mappato direttamente |
user_agent |
network.http.parsed_user_agent |
Mappato direttamente |
referral_url |
network.http.referral_url |
Mappato direttamente |
STATUS_CODE |
network.http.response_code |
Mappato direttamente |
request_status |
network.http.response_code |
Mappato direttamente |
Browser_type |
network.http.user_agent |
Mappato direttamente |
Client_info |
network.http.user_agent |
Mappato direttamente |
data.properties.UserAgent.str |
network.http.user_agent |
Mappato direttamente |
detail.payload.UserAgent |
network.http.user_agent |
Mappato direttamente |
payload.UserAgent |
network.http.user_agent |
Mappato direttamente |
properties.UserAgent |
network.http.user_agent |
Mappato direttamente |
user_agent |
network.http.user_agent |
Mappato direttamente |
RESPONSE_SIZE |
network.received_bytes |
Rinominate/mappate |
REQUEST_SIZE |
network.sent_bytes |
Rinominate/mappate |
column17 |
network.sent_bytes |
Mappato direttamente |
event_id |
network.sent_bytes |
Mappato: AuraRequest → uinteger |
LOGIN_KEY |
network.session_id |
Mappato direttamente |
SESSION_KEY |
network.session_id |
Mappato direttamente |
data.properties.SESSION_KEY.str |
network.session_id |
Mappato direttamente |
data.properties.SessionKey.str |
network.session_id |
Mappato direttamente |
payload.SessionKey |
network.session_id |
Mappato direttamente |
properties.SessionKey |
network.session_id |
Mappato direttamente |
session_id |
network.session_id |
Mappato direttamente |
session_key |
network.session_id |
Mappato direttamente |
cipher_suite |
network.tls.cipher |
Mappato direttamente |
data.properties.CipherSuite.str |
network.tls.cipher |
Mappato direttamente |
payload.CipherSuite |
network.tls.cipher |
Mappato direttamente |
properties.CipherSuite |
network.tls.cipher |
Mappato direttamente |
data.properties.TlsProtocol.str |
network.tls.version |
Mappato direttamente |
payload.TlsProtocol |
network.tls.version |
Mappato direttamente |
properties.TlsProtocol |
network.tls.version |
Mappato direttamente |
tls_protocol |
network.tls.version_protocol |
Mappato direttamente |
data.properties.DelegatedUsername.str |
observer.user.userid |
Mappato direttamente |
application |
principal.application |
Mappato direttamente |
attrs.Application |
principal.application |
Rinominate/mappate |
data.properties.Application.str |
principal.application |
Mappato direttamente |
payload.Application |
principal.application |
Mappato direttamente |
properties.Application |
principal.application |
Mappato direttamente |
src_app_name |
principal.application |
Mappato direttamente |
SourceIp |
principal.asset.hostname |
Mappato direttamente |
client_host |
principal.asset.hostname |
Mappato direttamente |
client_ip_1 |
principal.asset.hostname |
Mappato direttamente |
detail.payload.Client |
principal.asset.hostname |
Mappato direttamente |
CLIENT_IP |
principal.asset.ip |
Unita |
Client_ip |
principal.asset.ip |
Unita |
SourceIp |
principal.asset.ip |
Unita |
attrs.src |
principal.asset.ip |
Unita |
client_ip |
principal.asset.ip |
Unita |
client_ip_1 |
principal.asset.ip |
Unita |
column28 |
principal.asset.ip |
Unita |
csv_format |
principal.asset.ip |
Mappato: false → attrs.src |
event_id |
principal.asset.ip |
Mappato: API → prin_ip, Sites → column28, Login: Success → attrs.src |
ip |
principal.asset.ip |
Unita |
prin_ip |
principal.asset.ip |
Unita |
principal_ip_address |
principal.asset.ip |
Unita |
src_ip1 |
principal.asset.ip |
Unita |
value |
principal.asset.ip |
Unita |
data.properties.ASSET_ID.str |
principal.asset_id |
Mappato direttamente |
SourceIp |
principal.hostname |
Mappato direttamente |
client_host |
principal.hostname |
Mappato direttamente |
client_ip_1 |
principal.hostname |
Mappato direttamente |
detail.payload.Client |
principal.hostname |
Mappato direttamente |
CLIENT_IP |
principal.ip |
Unita |
Client_ip |
principal.ip |
Unita |
SourceIp |
principal.ip |
Unita |
attrs.src |
principal.ip |
Unita |
client_ip |
principal.ip |
Unita |
client_ip_1 |
principal.ip |
Unita |
column28 |
principal.ip |
Unita |
csv_format |
principal.ip |
Mappato: false → attrs.src |
event_id |
principal.ip |
Mappato: API → prin_ip, Sites → column28, Login: Success → attrs.src |
ip |
principal.ip |
Unita |
prin_ip |
principal.ip |
Unita |
principal_ip |
principal.ip |
Unita |
principal_ip_address |
principal.ip |
Unita |
src_ip1 |
principal.ip |
Unita |
value |
principal.ip |
Unita |
ApiType_label |
principal.labels |
Unita |
Client_label |
principal.labels |
Unita |
ConApp_label |
principal.labels |
Unita |
OrderBy_label |
principal.labels |
Unita |
Org_id |
principal.labels |
Unita |
Qentry_label |
principal.labels |
Unita |
Query_label |
principal.labels |
Unita |
Records_label |
principal.labels |
Unita |
channel |
principal.labels |
Unita |
colhdr_label |
principal.labels |
Unita |
disp_field_hdr_label |
principal.labels |
Unita |
evt_src_label |
principal.labels |
Unita |
federation_identifier |
principal.labels |
Unita |
grouped_colhdr_label |
principal.labels |
Unita |
city |
principal.location.city |
Mappato direttamente |
data.properties.City.str |
principal.location.city |
Mappato direttamente |
geoip_src.city_name |
principal.location.city |
Mappato direttamente |
payload.City |
principal.location.city |
Mappato direttamente |
properties.City |
principal.location.city |
Mappato direttamente |
client_geo |
principal.location.country_or_region |
Mappato direttamente |
data.properties.Country.str |
principal.location.country_or_region |
Mappato direttamente |
geoip_src.country_name |
principal.location.country_or_region |
Mappato direttamente |
payload.CountryIso |
principal.location.country_or_region |
Mappato direttamente |
properties.Country |
principal.location.country_or_region |
Mappato direttamente |
region |
principal.location.country_or_region |
Mappato direttamente |
data.properties.LoginLatitude.number |
principal.location.region_latitude |
Rinominate/mappate |
payload.LoginLatitude |
principal.location.region_latitude |
Rinominate/mappate |
properties.LoginLatitude |
principal.location.region_latitude |
Rinominate/mappate |
data.properties.LoginLongitude.number |
principal.location.region_longitude |
Rinominate/mappate |
payload.LoginLongitude |
principal.location.region_longitude |
Rinominate/mappate |
properties.LoginLongitude |
principal.location.region_longitude |
Rinominate/mappate |
geoip_src.region_name |
principal.location.state |
Mappato direttamente |
namespace |
principal.namespace |
Mappato direttamente |
source_ip |
principal.nat_ip |
Unita |
Platform |
principal.platform |
Mappato: Windows → WINDOWS, Linux → LINUX, Mac → MAC |
data.properties.OsName.str |
principal.platform |
Mappato direttamente |
os_name |
principal.platform |
Mappato direttamente |
payload.OsName |
principal.platform |
Mappato direttamente |
platform |
principal.platform |
Mappato direttamente |
data.properties.Platform.str |
principal.platform_version |
Mappato direttamente |
os_version |
principal.platform_version |
Mappato direttamente |
payload.OsVersion |
principal.platform_version |
Mappato direttamente |
properties.OsVersion |
principal.platform_version |
Mappato direttamente |
ApiVersion_label |
principal.resource.attribute.labels |
Unita |
IsDeleted_label |
principal.resource.attribute.labels |
Unita |
LogFileContentType_label |
principal.resource.attribute.labels |
Unita |
LogFileLength_label |
principal.resource.attribute.labels |
Unita |
LogFile_label |
principal.resource.attribute.labels |
Unita |
created_by_id_label |
principal.resource.attribute.labels |
Unita |
key |
principal.resource.attribute.labels |
Mappato: DisplayedFieldEntities → map_field |
map_field |
principal.resource.attribute.labels |
Unita |
os_name_label |
principal.resource.attribute.labels |
Unita |
principal_ip_address |
principal.resource.attribute.labels |
Unita |
browser_name |
principal.resource.name |
Mappato direttamente |
data.properties.Browser.str |
principal.resource.name |
Mappato direttamente |
product_object_id |
principal.resource.product_object_id |
Mappato direttamente |
principal_resource_type |
principal.resource.type |
Mappato direttamente |
LoginUrl |
principal.url |
Mappato direttamente |
user_labels |
principal.user.attribute.labels |
Unita |
user_permission_label |
principal.user.attribute.labels |
Unita |
roles |
principal.user.attribute.roles |
Unita |
CreatedBy.Email |
principal.user.email_addresses |
Unita |
Email |
principal.user.email_addresses |
Unita |
User.Email |
principal.user.email_addresses |
Unita |
User.Username |
principal.user.email_addresses |
Mappato direttamente |
attrs.usrName |
principal.user.email_addresses |
Unita |
csv_format |
principal.user.email_addresses |
Mappato: false → attrs.usrName |
email |
principal.user.email_addresses |
Unita |
properties.Username |
principal.user.email_addresses |
Unita |
src_email |
principal.user.email_addresses |
Mappato: ^.+@.+$ → src_email |
User.Id |
principal.user.product_object_id |
Mappato direttamente |
attrs.USER_ID_DERIVED |
principal.user.product_object_id |
Rinominate/mappate |
data.properties.USER_ID_DERIVED.str |
principal.user.product_object_id |
Mappato direttamente |
principal_product_object_id |
principal.user.product_object_id |
Mappato direttamente |
payload.UserType |
principal.user.role_name |
Mappato direttamente |
properties.UserType |
principal.user.role_name |
Mappato direttamente |
CreatedBy.Name |
principal.user.user_display_name |
Mappato direttamente |
Name |
principal.user.user_display_name |
Mappato direttamente |
User.Name |
principal.user.user_display_name |
Mappato direttamente |
email |
principal.user.user_display_name |
Mappato direttamente |
profile_name |
principal.user.user_display_name |
Mappato direttamente |
user_display_name |
principal.user.user_display_name |
Mappato direttamente |
username |
principal.user.user_display_name |
Mappato direttamente |
Id |
principal.user.userid |
Mappato direttamente |
USER_ID |
principal.user.userid |
Mappato direttamente |
account |
principal.user.userid |
Mappato direttamente |
attrs.usrName |
principal.user.userid |
Mappato direttamente |
data.properties.LoginKey.str |
principal.user.userid |
Mappato direttamente |
data.properties.USER_ID.str |
principal.user.userid |
Mappato direttamente |
login_key |
principal.user.userid |
Mappato direttamente |
payload.UserId |
principal.user.userid |
Mappato direttamente |
principal_user |
principal.user.userid |
Mappato direttamente |
properties.UserId |
principal.user.userid |
Mappato direttamente |
user_id |
principal.user.userid |
Mappato direttamente |
username |
principal.user.userid |
Mappato direttamente |
action |
security_result.action |
Mappato: "ALLOW", "BLOCK" → action |
csv_format |
security_result.action |
Mappato: false → sec_action |
event_id |
security_result.action |
Mappato: ` "Login", "LoginAsEvent", "IdentityVerificationEvent"... |
sec_action |
security_result.action |
Unita |
status |
security_result.action |
Mappato: Success → sec_action |
Status |
security_result.action_details |
Mappato direttamente |
action |
security_result.action_details |
Mappato direttamente |
data.properties.Status.str |
security_result.action_details |
Mappato direttamente |
properties.Status |
security_result.action_details |
Mappato direttamente |
detail.payload.Query |
security_result.category_details |
Unita |
LoginType |
security_result.description |
Mappato direttamente |
description |
security_result.description |
Mappato direttamente |
logintype |
security_result.description |
Mappato direttamente |
ActionMessage_label |
security_result.detection_fields |
Unita |
ElapsedTime_label |
security_result.detection_fields |
Unita |
EvaluationTime_label |
security_result.detection_fields |
Unita |
Id_label |
security_result.detection_fields |
Unita |
NumberOfFailedLogins_label |
security_result.detection_fields |
Unita |
PolicyOutcome_label |
security_result.detection_fields |
Unita |
User_url_label |
security_result.detection_fields |
Unita |
event_id |
security_result.detection_fields |
Mappato: AuraRequest → ActionMessage_label |
type_label |
security_result.detection_fields |
Unita |
column5 |
security_result.rule_author |
Mappato direttamente |
column1 |
security_result.rule_id |
Mappato direttamente |
payload.PolicyId |
security_result.rule_id |
Mappato direttamente |
properties.PolicyId |
security_result.rule_id |
Mappato direttamente |
column4 |
security_result.rule_name |
Mappato direttamente |
rule_name |
security_result.rule_name |
Mappato direttamente |
REQUEST_STATUS |
security_result.summary |
Mappato direttamente |
column10 |
security_result.summary |
Mappato direttamente |
data.properties.LoginType.str |
security_result.summary |
Mappato direttamente |
forecastcategory |
security_result.summary |
Mappato direttamente |
newvalue |
security_result.summary |
Mappato direttamente |
oldvalue |
security_result.summary |
Mappato direttamente |
summary |
security_result.summary |
Mappato direttamente |
ORGANIZATION_ID |
target.administrative_domain |
Mappato direttamente |
domain |
target.administrative_domain |
Mappato direttamente |
organization_id |
target.administrative_domain |
Mappato direttamente |
properties.OrgName |
target.administrative_domain |
Mappato direttamente |
app_name |
target.application |
Mappato direttamente |
data.properties.Application.str |
target.application |
Mappato direttamente |
payload.AppName |
target.application |
Mappato direttamente |
properties.AppName |
target.application |
Mappato direttamente |
target_host |
target.asset.hostname |
Mappato direttamente |
target_hostname |
target.asset.hostname |
Mappato direttamente |
data.properties.CLIENT_IP.str |
target.asset.ip |
Unita |
device_id |
target.asset_id |
Mappato direttamente |
file_type |
target.file.mime_type |
Mappato direttamente |
size_bytes |
target.file.size |
Mappato direttamente |
target_host |
target.hostname |
Mappato direttamente |
target_hostname |
target.hostname |
Mappato direttamente |
data.properties.CLIENT_IP.str |
target.ip |
Unita |
QUERY_IDENTIFIER |
target.process.command_line |
Mappato direttamente |
cmd_line |
target.process.command_line |
Mappato direttamente |
data.properties.Query.str |
target.process.command_line |
Mappato direttamente |
query_exec |
target.process.command_line |
Mappato direttamente |
job_id |
target.process.pid |
Mappato direttamente |
PageStartTime_label |
target.resource.attribute.labels |
Unita |
call_time |
target.resource.attribute.labels |
Unita |
counts_against_api_limit_label |
target.resource.attribute.labels |
Unita |
cpu |
target.resource.attribute.labels |
Unita |
cpu_time_label |
target.resource.attribute.labels |
Unita |
db_blocks_label |
target.resource.attribute.labels |
Unita |
db_cpu |
target.resource.attribute.labels |
Unita |
db_cpu_time_label |
target.resource.attribute.labels |
Unita |
db_total_time_label |
target.resource.attribute.labels |
Unita |
db_type |
target.resource.attribute.labels |
Unita |
duration_time |
target.resource.attribute.labels |
Unita |
entity_name |
target.resource.attribute.labels |
Unita |
entity_name_label |
target.resource.attribute.labels |
Unita |
entry_p |
target.resource.attribute.labels |
Unita |
event_id |
target.resource.attribute.labels |
Valori mappati (5 in totale, ad es. ApiEventStream → ope, ApiEventStream → ses_level, `ApiT... |
exception_label |
target.resource.attribute.labels |
Unita |
exe_time |
target.resource.attribute.labels |
Unita |
key |
target.resource.attribute.labels |
Mappato: "PageStartTime", "PreviousPageUrl", "Description", "ReportId" → map_field |
label |
target.resource.attribute.labels |
Unita |
map_field |
target.resource.attribute.labels |
Unita |
media_type_label |
target.resource.attribute.labels |
Unita |
no_sql_que |
target.resource.attribute.labels |
Unita |
number_fields_label |
target.resource.attribute.labels |
Unita |
ope |
target.resource.attribute.labels |
Unita |
query_type_label |
target.resource.attribute.labels |
Unita |
rows_proc |
target.resource.attribute.labels |
Unita |
rows_proc_label |
target.resource.attribute.labels |
Unita |
run |
target.resource.attribute.labels |
Unita |
run_time_label |
target.resource.attribute.labels |
Unita |
ses_level |
target.resource.attribute.labels |
Unita |
sql_id_label |
target.resource.attribute.labels |
Unita |
ss_type |
target.resource.attribute.labels |
Unita |
total_time |
target.resource.attribute.labels |
Unita |
uripath_label |
target.resource.attribute.labels |
Unita |
user_derieved_label |
target.resource.attribute.labels |
Unita |
user_ty |
target.resource.attribute.labels |
Unita |
user_type_label |
target.resource.attribute.labels |
Unita |
verify_method |
target.resource.attribute.labels |
Unita |
wave |
target.resource.attribute.labels |
Unita |
URI |
target.resource.id |
Mappato direttamente |
accountid |
target.resource.id |
Mappato direttamente |
attrs.AccountId |
target.resource.id |
Rinominate/mappate |
attrs.CaseId |
target.resource.id |
Rinominate/mappate |
attrs.ContactId |
target.resource.id |
Rinominate/mappate |
caseid |
target.resource.id |
Mappato direttamente |
contactid |
target.resource.id |
Mappato direttamente |
detail.id |
target.resource.id |
Mappato direttamente |
leadid |
target.resource.id |
Mappato direttamente |
opportunityid |
target.resource.id |
Mappato direttamente |
payload.RecordId |
target.resource.id |
Mappato direttamente |
properties.RecordId |
target.resource.id |
Mappato direttamente |
request_id |
target.resource.id |
Mappato direttamente |
StageName |
target.resource.name |
Mappato direttamente |
data.properties.DATASET_IDS.str |
target.resource.name |
Mappato direttamente |
field |
target.resource.name |
Mappato direttamente |
properties.Name |
target.resource.name |
Mappato direttamente |
resource_name |
target.resource.name |
Mappato direttamente |
column13 |
target.resource.product_object_id |
Mappato direttamente |
data.properties.REQUEST_ID.str |
target.resource.product_object_id |
Mappato direttamente |
properties.OrgId |
target.resource.product_object_id |
Mappato direttamente |
target_product_object_id |
target.resource.product_object_id |
Mappato direttamente |
event_id |
target.resource.resource_type |
Mappato: PlatformEncryption → ACCESS_POLICY, ApexCallout → ACCESS_POLICY, `ApexTrigge... |
target_resource_type |
target.resource.resource_type |
Mappato direttamente |
event_id |
target.resource.type |
Mappato: (QueuedExecution/ApexExecution) → BATCH, ApexTrigger → DATABASE_TRIGGER, `Co... |
URI |
target.url |
Mappato direttamente |
attrs.LoginUrl |
target.url |
Rinominate/mappate |
attrs.attributes.url |
target.url |
Rinominate/mappate |
login_url |
target.url |
Mappato direttamente |
payload.LoginUrl |
target.url |
Mappato direttamente |
properties.LoginUrl |
target.url |
Mappato direttamente |
properties.PageUrl |
target.url |
Mappato direttamente |
uri |
target.url |
Mappato direttamente |
uripath |
target.url |
Mappato direttamente |
attrs.usrName |
target.user.email_addresses |
Unita |
csv_format |
target.user.email_addresses |
Mappato: false → attrs.usrName |
email_address |
target.user.email_addresses |
Unita |
event_id |
target.user.email_addresses |
Mappato: Logout → attrs.usrName |
target_user_display_name |
target.user.user_display_name |
Mappato direttamente |
column5 |
target.user.userid |
Mappato direttamente |
data.properties.CreatedById.str |
target.user.userid |
Mappato direttamente |
data.properties.UserId.str |
target.user.userid |
Mappato direttamente |
detail.payload.UserId |
target.user.userid |
Mappato direttamente |
target_login_key |
target.user.userid |
Mappato direttamente |
target_user_id |
target.user.userid |
Mappato direttamente |
target_user_name |
target.user.userid |
Mappato direttamente |
| N/D | extensions.auth.auth_details |
Costante: ACTIVE |
| N/D | extensions.auth.type |
Costante: AUTHTYPE_UNSPECIFIED |
| N/D | metadata.event_type |
Costante: USER_UNCATEGORIZED |
| N/D | metadata.product_name |
Costante: SALESFORCE |
| N/D | metadata.vendor_name |
Costante: SALESFORCE |
| N/D | network.application_protocol |
Costante: HTTP |
| N/D | network.http.parsed_user_agent |
Costante: parseduseragent |
| N/D | principal.platform |
Costante: WINDOWS |
| N/D | principal.resource.type |
Costante: USER |
| N/D | target.resource.resource_type |
Costante: ACCESS_POLICY |
| N/D | target.resource.type |
Costante: BATCH |
Log delle modifiche
Visualizza il log delle modifiche per questo parser
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.