Raccogliere i log di SecureLink

Questo documento spiega come importare i log di SecureLink in Google Security Operations utilizzando Google Cloud Storage V2.

SecureLink (ora Imprivata Privileged Remote Access) è una piattaforma di accesso remoto di terze parti basata sul cloud per la gestione sicura dell'accesso con privilegi e dei fornitori. L'API REST SecureLink fornisce l'accesso programmatico ai log di sessione, agli eventi di autenticazione e ai log di controllo amministrativi.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Un'istanza Google SecOps
• Un progetto GCP con l'API Storage Cloud abilitata
• Autorizzazioni per creare e gestire bucket GCS
• Autorizzazioni per gestire le policy IAM nei bucket GCS
• Autorizzazioni per creare servizi Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
• Accesso privilegiato al portale di amministrazione SecureLink con autorizzazioni di amministratore
• Una chiave API SecureLink con accesso in lettura al log di controllo

Crea un bucket Cloud Storage

1. Vai alla console Google Cloud.
2. Seleziona il tuo progetto o creane uno nuovo.
3. Nel menu di navigazione, vai a Cloud Storage > Bucket.
4. Fai clic su Crea bucket.

5. Fornisci i seguenti dettagli di configurazione:

   Impostazione	Valore
   Assegna un nome al bucket	Inserisci un nome univoco globale (ad esempio securelink-logs).
   Tipo di località	Scegli in base alle tue esigenze (regione singola, a due regioni, multiregionale)
   Località	Seleziona la posizione (ad esempio, us-central1).
   Classe di archiviazione	Standard (consigliato per i log a cui si accede di frequente)
   Controllo dell'accesso	Uniforme (consigliato)
   Strumenti di protezione	(Facoltativo) Attivare il controllo delle versioni degli oggetti o la policy di conservazione

6. Fai clic su Crea.

Raccogliere le credenziali API SecureLink

Genera chiave API

1. Accedi al portale di amministrazione SecureLink.
2. Vai ad Amministrazione > Chiavi API (o Amministrazione > Integrazioni > API).
3. Fai clic su Genera chiave API.
4. Inserisci un nome per la chiave API (ad esempio, Google SecOps Integration).
5. Seleziona le autorizzazioni richieste:
   • Audit Log Read: accesso ai log di sessione e autenticazione
   • Lettura sessione: accesso ai dati della sessione di accesso remoto
6. Fai clic su Genera.

7. Copia e salva i seguenti dettagli in una posizione sicura:

   • Chiave API: il valore della chiave API generata
   • ID organizzazione: l'ID organizzazione SecureLink (visibile nell'URL del portale di amministrazione o nella pagina Impostazioni)

Determinare l'URL di base dell'API

L'URL di base dell'API SecureLink:

Ambiente	URL di base dell'API
Produzione	https://api.securelink.com/v1

Testare l'accesso API

• Verifica le tue credenziali prima di procedere con l'integrazione:

  # Replace with your actual credentials
  SECURELINK_API_KEY="your-api-key"
  SECURELINK_ORG_ID="your-org-id"
  
  # Test API access - list recent audit logs
  curl -s -X GET "https://api.securelink.com/v1/audit-logs?limit=1" \
    -H "Authorization: Bearer ${SECURELINK_API_KEY}" \
    -H "X-Organization-Id: ${SECURELINK_ORG_ID}" \
    -H "Accept: application/json"
  

Crea un account di servizio per la funzione Cloud Run

La funzione Cloud Run richiede un account di servizio con autorizzazioni per scrivere nel bucket GCS e per essere richiamato da Pub/Sub.

Crea service account

1. Nella console Google Cloud, vai a IAM e amministrazione > Service account.
2. Fai clic su Crea account di servizio.
3. Fornisci i seguenti dettagli di configurazione:
   • Nome del service account: inserisci securelink-logs-collector-sa
   • Descrizione service account: inserisci Service account for Cloud Run function to collect SecureLink logs
4. Fai clic su Crea e continua.
5. Nella sezione Concedi a questo account di servizio l'accesso al progetto, aggiungi i seguenti ruoli:
   1. Fai clic su Seleziona un ruolo.
   2. Cerca e seleziona Amministratore oggetti di archiviazione.
   3. Fai clic su + Aggiungi un altro ruolo.
   4. Cerca e seleziona Cloud Run Invoker.
   5. Fai clic su + Aggiungi un altro ruolo.
   6. Cerca e seleziona Invoker di Cloud Functions.
6. Fai clic su Continua.
7. Fai clic su Fine.

Questi ruoli sono necessari per:

• Storage Object Admin: scrive i log nel bucket GCS e gestisce i file di stato
• Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
• Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al account di servizio le autorizzazioni di scrittura sul bucket GCS:

1. Vai a Cloud Storage > Bucket.
2. Fai clic sul nome del bucket (ad esempio securelink-logs).
3. Vai alla scheda Autorizzazioni.
4. Fai clic su Concedi l'accesso.
5. Fornisci i seguenti dettagli di configurazione:
   • Aggiungi entità: inserisci l'email del account di servizio (ad esempio, securelink-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Assegna i ruoli: seleziona Storage Object Admin.
6. Fai clic su Salva.

Crea argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

1. Nella console GCP, vai a Pub/Sub > Argomenti.
2. Fai clic su Crea argomento.
3. Fornisci i seguenti dettagli di configurazione:
   • ID argomento: inserisci securelink-logs-trigger
   • Lascia invariate le altre impostazioni predefinite
4. Fai clic su Crea.

Crea una funzione Cloud Run per raccogliere i log

La funzione Cloud Run verrà attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare i log dall'API REST SecureLink e scriverli in GCS.

1. Nella console GCP, vai a Cloud Run.
2. Fai clic su Crea servizio.
3. Seleziona Funzione (usa un editor in linea per creare una funzione).

4. Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

   Impostazione	Valore
   Nome servizio	securelink-logs-collector
   Regione	Seleziona la regione corrispondente al tuo bucket GCS (ad esempio, us-central1)
   Tempo di esecuzione	Seleziona Python 3.12 o versioni successive

5. Nella sezione Trigger (facoltativo):

   1. Fai clic su + Aggiungi trigger.
   2. Seleziona Cloud Pub/Sub.
   3. In Seleziona un argomento Cloud Pub/Sub, scegli l'argomento securelink-logs-trigger.
   4. Fai clic su Salva.

6. Nella sezione Autenticazione:

   1. Seleziona Richiedi autenticazione.
   2. Controlla Identity and Access Management (IAM).

7. Scorri verso il basso ed espandi Container, networking, sicurezza.

8. Vai alla scheda Sicurezza:

   • Service account: seleziona il account di servizio securelink-logs-collector-sa.

9. Vai alla scheda Container:

   1. Fai clic su Variabili e secret.
   2. Fai clic su + Aggiungi variabile per ogni variabile di ambiente:

   Nome variabile	Valore di esempio	Descrizione
   GCS_BUCKET	securelink-logs	Nome del bucket GCS
   GCS_PREFIX	securelink	Prefisso per i file di log
   STATE_KEY	securelink/state.json	Percorso file di stato
   SECURELINK_API_KEY	your-api-key	Chiave API SecureLink
   SECURELINK_ORG_ID	your-org-id	ID organizzazione SecureLink
   SECURELINK_API_BASE	https://api.securelink.com/v1	URL di base dell'API SecureLink
   MAX_RECORDS	5000	Numero massimo di record per esecuzione
   PAGE_SIZE	1000	Record per pagina
   LOOKBACK_HOURS	24	Periodo di riferimento iniziale

10. Nella sezione Variabili e secret, scorri verso il basso fino a Richieste:

    • Timeout richiesta: inserisci 600 secondi (10 minuti)

11. Vai alla scheda Impostazioni:

    • Nella sezione Risorse:
      • Memoria: seleziona 512 MiB o superiore
      • CPU: seleziona 1

12. Nella sezione Scalabilità della revisione:

    • Numero minimo di istanze: inserisci 0
    • Numero massimo di istanze: inserisci 100 (o modifica in base al carico previsto)

13. Fai clic su Crea.

14. Attendi la creazione del servizio (1-2 minuti).

15. Dopo aver creato il servizio, si aprirà automaticamente l'editor di codice incorporato.

Aggiungi codice per la funzione

1. Inserisci main nel campo Entry point (Punto di ingresso).

2. Nell'editor di codice incorporato, crea due file:

   • Primo file main.py:

     import functions_framework
     from google.cloud import storage
     import json
     import os
     import urllib3
     from datetime import datetime, timezone, timedelta
     import time
     
     # Initialize HTTP client with timeouts
     http = urllib3.PoolManager(
       timeout=urllib3.Timeout(connect=5.0, read=30.0),
       retries=False,
     )
     
     # Initialize Storage client
     storage_client = storage.Client()
     
     # Environment variables
     GCS_BUCKET = os.environ.get('GCS_BUCKET')
     GCS_PREFIX = os.environ.get('GCS_PREFIX', 'securelink')
     STATE_KEY = os.environ.get('STATE_KEY', 'securelink/state.json')
     SECURELINK_API_KEY = os.environ.get('SECURELINK_API_KEY')
     SECURELINK_ORG_ID = os.environ.get('SECURELINK_ORG_ID')
     SECURELINK_API_BASE = os.environ.get('SECURELINK_API_BASE', 'https://api.securelink.com/v1')
     MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '5000'))
     PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '1000'))
     LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))
     
     def parse_datetime(value: str) -> datetime:
       """Parse ISO datetime string to datetime object."""
       if value.endswith("Z"):
         value = value[:-1] + "+00:00"
       return datetime.fromisoformat(value)
     
     @functions_framework.cloud_event
     def main(cloud_event):
       """
       Cloud Run function triggered by Pub/Sub to fetch SecureLink
       audit and session logs and write to GCS.
     
       Args:
         cloud_event: CloudEvent object containing Pub/Sub message
       """
     
       if not all([GCS_BUCKET, SECURELINK_API_KEY, SECURELINK_ORG_ID]):
         print('Error: Missing required environment variables')
         return
     
       try:
         bucket = storage_client.bucket(GCS_BUCKET)
     
         # Load state
         state = load_state(bucket, STATE_KEY)
     
         # Determine time window
         now = datetime.now(timezone.utc)
         last_time = None
     
         if isinstance(state, dict) and state.get("last_event_time"):
           try:
             last_time = parse_datetime(state["last_event_time"])
             # Overlap by 2 minutes to catch any delayed events
             last_time = last_time - timedelta(minutes=2)
           except Exception as e:
             print(f"Warning: Could not parse last_event_time: {e}")
     
         if last_time is None:
           last_time = now - timedelta(hours=LOOKBACK_HOURS)
     
         print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")
     
         # Fetch logs from multiple endpoints
         all_records = []
         newest_event_time = None
     
         for endpoint_type in ['audit-logs', 'sessions']:
           records, newest_time = fetch_logs(
             endpoint_type=endpoint_type,
             start_time=last_time,
             end_time=now,
             page_size=PAGE_SIZE,
             max_records=MAX_RECORDS,
           )
           all_records.extend(records)
           if newest_time:
             if newest_event_time is None or parse_datetime(newest_time) > parse_datetime(newest_event_time):
               newest_event_time = newest_time
     
         if not all_records:
           print("No new log records found.")
           save_state(bucket, STATE_KEY, now.isoformat())
           return
     
         # Write to GCS as NDJSON
         timestamp = now.strftime('%Y%m%d_%H%M%S')
         object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
         blob = bucket.blob(object_key)
     
         ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in all_records]) + '\n'
         blob.upload_from_string(ndjson, content_type='application/x-ndjson')
     
         print(f"Wrote {len(all_records)} records to gs://{GCS_BUCKET}/{object_key}")
     
         # Update state with newest event time
         if newest_event_time:
           save_state(bucket, STATE_KEY, newest_event_time)
         else:
           save_state(bucket, STATE_KEY, now.isoformat())
     
         print(f"Successfully processed {len(all_records)} records")
     
       except Exception as e:
         print(f'Error processing logs: {str(e)}')
         raise
     
     def load_state(bucket, key):
       """Load state from GCS."""
       try:
         blob = bucket.blob(key)
         if blob.exists():
           state_data = blob.download_as_text()
           return json.loads(state_data)
       except Exception as e:
         print(f"Warning: Could not load state: {e}")
     
       return {}
     
     def save_state(bucket, key, last_event_time_iso: str):
       """Save the last event timestamp to GCS state file."""
       try:
         state = {'last_event_time': last_event_time_iso}
         blob = bucket.blob(key)
         blob.upload_from_string(
           json.dumps(state, indent=2),
           content_type='application/json'
         )
         print(f"Saved state: last_event_time={last_event_time_iso}")
       except Exception as e:
         print(f"Warning: Could not save state: {e}")
     
     def fetch_logs(endpoint_type: str, start_time: datetime, end_time: datetime, page_size: int, max_records: int):
       """
       Fetch logs from SecureLink REST API
       with cursor-based pagination and rate limiting.
     
       Args:
         endpoint_type: API endpoint type (audit-logs, sessions)
         start_time: Start time for log query
         end_time: End time for log query
         page_size: Number of records per page
         max_records: Maximum total records to fetch
     
       Returns:
         Tuple of (records list, newest_event_time ISO string)
       """
       api_base = SECURELINK_API_BASE.rstrip('/')
       endpoint = f"{api_base}/{endpoint_type}"
     
       headers = {
         'Authorization': f'Bearer {SECURELINK_API_KEY}',
         'X-Organization-Id': SECURELINK_ORG_ID,
         'Accept': 'application/json',
         'User-Agent': 'GoogleSecOps-SecureLinkCollector/1.0'
       }
     
       records = []
       newest_time = None
       page_num = 0
       backoff = 1.0
       cursor = None
     
       start_iso = start_time.strftime('%Y-%m-%dT%H:%M:%SZ')
       end_iso = end_time.strftime('%Y-%m-%dT%H:%M:%SZ')
     
       while True:
         page_num += 1
     
         if len(records) >= max_records:
           print(f"Reached max_records limit ({max_records}) for {endpoint_type}")
           break
     
         url = f"{endpoint}?startDate={start_iso}&endDate={end_iso}&limit={min(page_size, max_records - len(records))}"
         if cursor:
           url += f"&cursor={cursor}"
     
         try:
           response = http.request('GET', url, headers=headers)
     
           # Handle rate limiting with exponential backoff
           if response.status == 429:
             retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
             print(f"Rate limited (429). Retrying after {retry_after}s...")
             time.sleep(retry_after)
             backoff = min(backoff * 2, 30.0)
             continue
     
           backoff = 1.0
     
           if response.status != 200:
             print(f"HTTP Error: {response.status}")
             response_text = response.data.decode('utf-8')
             print(f"Response body: {response_text}")
             return records, newest_time
     
           data = json.loads(response.data.decode('utf-8'))
     
           page_results = data.get('data', data.get('results', data.get('items', [])))
     
           if not page_results:
             print(f"No more results (empty page) for {endpoint_type}")
             break
     
           print(f"{endpoint_type} page {page_num}: Retrieved {len(page_results)} events")
     
           # Add endpoint type for identification
           for event in page_results:
             event['_securelink_log_type'] = endpoint_type
     
           records.extend(page_results)
     
           # Track newest event time
           for event in page_results:
             try:
               event_ts = event.get('timestamp') or event.get('createdAt') or event.get('startTime')
               if event_ts:
                 event_time = str(event_ts)
                 if newest_time is None or parse_datetime(event_time) > parse_datetime(newest_time):
                   newest_time = event_time
             except Exception as e:
               print(f"Warning: Could not parse event time: {e}")
     
           # Check for next cursor
           cursor = data.get('cursor') or data.get('nextCursor') or data.get('next_cursor')
           if not cursor:
             if len(page_results) < page_size:
               print(f"No more pages for {endpoint_type} (last page not full)")
             else:
               print(f"No more pages for {endpoint_type} (no cursor)")
             break
     
         except Exception as e:
           print(f"Error fetching {endpoint_type} logs: {e}")
           return records, newest_time
     
       print(f"Retrieved {len(records)} total {endpoint_type} records from {page_num} pages")
       return records, newest_time
     

   • Secondo file requirements.txt:

     functions-framework==3.*
     google-cloud-storage==2.*
     urllib3>=2.0.0
     

3. Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.

4. Attendi il completamento del deployment (2-3 minuti).

Crea job Cloud Scheduler

Cloud Scheduler pubblicherà messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.

1. Nella console di GCP, vai a Cloud Scheduler.
2. Fai clic su Crea job.

3. Fornisci i seguenti dettagli di configurazione:

   Impostazione	Valore
   Nome	securelink-logs-collector-hourly
   Regione	Seleziona la stessa regione della funzione Cloud Run
   Frequenza	0 * * * * (ogni ora, all'ora)
   Fuso orario	Seleziona il fuso orario (UTC consigliato)
   Tipo di target	Pub/Sub
   Argomento	Seleziona l'argomento securelink-logs-trigger
   Corpo del messaggio	{} (oggetto JSON vuoto)

4. Fai clic su Crea.

Opzioni di frequenza di pianificazione

Scegli la frequenza in base al volume dei log e ai requisiti di latenza:

Frequenza	Espressione cron	Caso d'uso
Ogni 5 minuti	*/5 * * * *	Volume elevato, bassa latenza
Ogni 15 minuti	*/15 * * * *	Volume medio
Ogni ora	0 * * * *	Standard (consigliato)
Ogni 6 ore	0 */6 * * *	Volume basso, elaborazione batch
Ogni giorno	0 0 * * *	Raccolta dei dati storici

Testare l'integrazione

1. Nella console Cloud Scheduler, trova il job.
2. Fai clic su Forza esecuzione per attivare il job manualmente.
3. Attendi qualche secondo.
4. Vai a Cloud Run > Servizi.
5. Fai clic su securelink-logs-collector.
6. Fai clic sulla scheda Log.

7. Verifica che la funzione sia stata eseguita correttamente. Cerca:

   Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
   audit-logs page 1: Retrieved X events
   sessions page 1: Retrieved X events
   Wrote X records to gs://securelink-logs/securelink/logs_YYYYMMDD_HHMMSS.ndjson
   Successfully processed X records
   

8. Vai a Cloud Storage > Bucket.

9. Fai clic sul nome del bucket (securelink-logs).

10. Vai alla cartella securelink/.

11. Verifica che sia stato creato un nuovo file .ndjson con il timestamp corrente.

Se visualizzi errori nei log:

• HTTP 401: controlla la chiave API e l'ID organizzazione nelle variabili di ambiente
• HTTP 403: verifica che la chiave API disponga delle autorizzazioni richieste nel portale di amministrazione di SecureLink
• HTTP 429: limitazione di frequenza: la funzione riproverà automaticamente con backoff
• Variabili di ambiente mancanti: controlla che tutte le variabili richieste siano impostate

Configura un feed in Google SecOps per importare i log SecureLink

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Fai clic su Configura un singolo feed.
4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, SecureLink Logs).
5. Seleziona Google Cloud Storage V2 come Tipo di origine.
6. Seleziona SecureLink come Tipo di log.

7. Fai clic su Ottieni service account. Verrà visualizzata un'email dell'account di servizio univoca, ad esempio:

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Copia l'indirizzo email.

9. Fai clic su Avanti.

10. Specifica i valori per i seguenti parametri di input:

    • URL bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:

      gs://securelink-logs/securelink/
      

      • Sostituisci:
        • securelink-logs: il nome del bucket GCS.
        • securelink: (Facoltativo) prefisso/percorso della cartella in cui vengono archiviati i log (lascia vuoto per la radice).

    • Opzione di eliminazione della fonte: seleziona l'opzione di eliminazione in base alle tue preferenze:

      • Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
      • Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.

      • Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.

    • Età massima del file: includi i file modificati nell'ultimo numero di giorni (il valore predefinito è 180 giorni)

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed

11. Fai clic su Avanti.

12. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Concedi le autorizzazioni IAM al account di servizio Google SecOps

Il account di servizio Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

1. Vai a Cloud Storage > Bucket.
2. Fai clic sul nome del bucket.
3. Vai alla scheda Autorizzazioni.
4. Fai clic su Concedi l'accesso.
5. Fornisci i seguenti dettagli di configurazione:
   • Aggiungi entità: incolla l'email del account di servizio Google SecOps
   • Assegna i ruoli: seleziona Visualizzatore oggetti Storage.
6. Fai clic su Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
additional_classification	additional.fields	Qualsiasi dato sugli eventi specifico del fornitore importante che non può essere rappresentato adeguatamente nelle sezioni formali del modello UDM
meccanismo	extensions.auth.mechanism	Meccanismo di autenticazione
	extensions.auth.type	Tipo di autenticazione
msg, inner_message, desc	metadata.description	Descrizione dell'evento
	metadata.event_type	Tipo di evento (ad es. USER_LOGIN, NETWORK_CONNECTION)
resource_name, _application_protocol	network.application_protocol	Protocollo applicativo (ad es. HTTP, FTP)
metodo	network.http.method	Metodo HTTP (ad es. GET, POST)
	network.ip_protocol	Protocollo IP (ad es. TCP, UDP)
sessionId	network.session_id	ID sessione
principal_host	principal.hostname	Nome host di origine
login_ip, src_ip, inner_ip, principal_host	principal.ip	Indirizzo IP di origine della connessione
principal_port	principal.port	Numero porta di origine
process_id	principal.process.pid	ID processo
principal_uri	principal.url	URL associato al principale
nome utente, chiave	principal.user.email_addresses	Indirizzi email associati all'utente
username, key, user_id	principal.user.userid	ID utente
security_action	security_result.action	Azione intrapresa (ad es. CONSENTI, BLOCCA)
categoria	security_result.category	Categoria del risultato di sicurezza
action, description	security_result.description	Descrizione del risultato di sicurezza
priorità	security_result.priority	Priorità del risultato di sicurezza
metodo	security_result.severity	Gravità del risultato di sicurezza
priorità	security_result.severity_details	Dettagli sulla gravità
motivo	security_result.summary	Riepilogo del risultato di sicurezza
application, product_event_type	target.application	Nome applicazione
pwd	target.file.full_path	Percorso completo del file
target_host	target.hostname	Nome host di destinazione
dst_ip, target_host	target.ip	Indirizzo IP di destinazione
target_port	target.port	Numero di porta di destinazione
comando	target.process.command_line	Riga di comando del processo
	target.resource.type	Tipo di risorsa
url	target.url	URL associato al target
nome utente, chiave	target.user.email_addresses	Indirizzi email associati all'utente di destinazione
nome	target.user.user_display_name	Nome visualizzato dell'utente
username, key, user_id	target.user.userid	ID utente dell'utente di destinazione
	metadata.product_name	Nome del prodotto
	metadata.vendor_name	Nome fornitore/azienda

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.