Collecter les journaux d'audit Tines

Ce document explique comment ingérer les journaux d'audit Tines dans Google Security Operations à l'aide de Google Cloud Storage.

Tines est une plate-forme d'automatisation sans code qui permet aux équipes de sécurité de créer des workflows et d'automatiser les opérations de sécurité. Les journaux d'audit Tines offrent une visibilité sur les actions des utilisateurs, les modifications de configuration et les événements système sur la plate-forme Tines.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

• Une instance Google SecOps
• Un projet GCP avec l'API Cloud Storage activée
• Autorisations pour créer et gérer des buckets GCS
• Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
• Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler
• Accès privilégié à Tines

Obtenir l'URL Tines

1. Dans votre navigateur, ouvrez l'interface utilisateur Tines pour votre locataire.
2. Copiez le domaine à partir de la barre d'adresse. Vous l'utiliserez comme TINES_BASE_URL.
3. Format : https://<tenant-domain> (par exemple, https://<tenant-domain>.tines.com).

Créez une clé API de service Tines (recommandée) ou une clé API personnelle.

Valeurs à enregistrer pour les étapes ultérieures :

• TINES_BASE_URL : par exemple, https://<domain>.tines.com
• TINES_API_KEY : jeton que vous allez créer lors des prochaines étapes

Option 1 : Clé API de service (recommandée)

1. Accédez au menu de navigation> Clés API.
2. Cliquez sur + Nouvelle clé.
3. Sélectionnez Clé API de service.
4. Saisissez un nom descriptif (par exemple, SecOps Audit Logs).
5. Cliquez sur Créer.
6. Copiez immédiatement le jeton généré et enregistrez-le de manière sécurisée. Vous l'utiliserez comme TINES_API_KEY.

Option 2 : Clé API personnelle (si les clés de service ne sont pas disponibles)

1. Accédez au menu de navigation> Clés API.
2. Cliquez sur + Nouvelle clé.
3. Sélectionnez Clé API personnelle.
4. Saisissez un nom descriptif.
5. Cliquez sur Créer.

6. Copiez le jeton généré et enregistrez-le de manière sécurisée.

Accorder l'autorisation de lecture des journaux d'audit

1. Connectez-vous en tant que propriétaire du locataire (ou demandez-lui de le faire).
2. Accédez à Paramètres > Administration > Administration des utilisateurs (ou cliquez sur le nom de votre équipe dans le menu en haut à gauche, puis sélectionnez Utilisateurs).
3. Recherchez l'utilisateur du compte de service associé à votre clé API Service (il aura le même nom que votre clé API). Si vous utilisez une clé API personnelle, recherchez plutôt votre propre compte utilisateur.
4. Cliquez sur l'utilisateur pour ouvrir son profil.
5. Dans la section Autorisations du locataire, activez AUDIT_LOG_READ.
6. Cliquez sur Enregistrer.

Vérifier les autorisations

Pour vérifier que le compte dispose des autorisations requises :

1. Connectez-vous à Tines.
2. Accédez à Paramètres> Surveillance> Journaux d'audit.
3. Si vous pouvez voir les entrées du journal d'audit, vous disposez des autorisations requises.
4. Si cette option ne s'affiche pas, contactez le propriétaire du locataire pour qu'il vous accorde l'autorisation AUDIT_LOG_READ.

Tester l'accès à l'API

• Testez vos identifiants avant de procéder à l'intégration :

  # Replace with your actual credentials
  TINES_BASE_URL="https://<tenant-domain>.tines.com"
  TINES_API_KEY="<your-api-key>"
  
  # Test API access
  curl -X GET "${TINES_BASE_URL}/api/v1/audit_logs?per_page=1" \
    -H "Authorization: Bearer ${TINES_API_KEY}" \
    -H "Content-Type: application/json"
  

Vous devriez recevoir une réponse JSON contenant des entrées de journaux d'audit.

Créer un bucket Google Cloud Storage

1. Accédez à la console Google Cloud.
2. Sélectionnez votre projet ou créez-en un.
3. Dans le menu de navigation, accédez à Cloud Storage> Buckets.
4. Cliquez sur Créer un bucket.

5. Fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nommer votre bucket	Saisissez un nom unique (par exemple, tines-audit-logs).
   Type d'emplacement	Choisissez en fonction de vos besoins (région, birégion ou multirégion).
   Emplacement	Sélectionnez l'emplacement (par exemple, us-central1).
   Classe de stockage	Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
   Access control (Contrôle des accès)	Uniforme (recommandé)
   Outils de protection	Facultatif : Activer la gestion des versions des objets ou la règle de conservation

6. Cliquez sur Créer.

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.

Créer un compte de service

1. Dans la console GCP, accédez à IAM et administration > Comptes de service.
2. Cliquez sur Créer un compte de service.
3. Fournissez les informations de configuration suivantes :
   • Nom du compte de service : saisissez tines-audit-to-gcs-sa.
   • Description du compte de service : saisissez Service account for Cloud Run function to collect Tines Audit Logs.
4. Cliquez sur Créer et continuer.
5. Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
   1. Cliquez sur Sélectionner un rôle.
   2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
   3. Cliquez sur + Ajouter un autre rôle.
   4. Recherchez et sélectionnez Demandeur Cloud Run.
   5. Cliquez sur + Ajouter un autre rôle.
   6. Recherchez et sélectionnez Demandeur Cloud Functions.
6. Cliquez sur Continuer.
7. Cliquez sur OK.

Ces rôles sont requis pour :

• Administrateur des objets Storage : écrire des journaux dans le bucket GCS et gérer les fichiers d'état
• Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
• Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

1. Accédez à Cloud Storage > Buckets.
2. Cliquez sur le nom de votre bucket.
3. Accédez à l'onglet Autorisations.
4. Cliquez sur Accorder l'accès.
5. Fournissez les informations de configuration suivantes :
   • Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, tines-audit-to-gcs-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Attribuer des rôles : sélectionnez Administrateur des objets Storage.
6. Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

1. Dans la console GCP, accédez à Pub/Sub > Sujets.
2. Cliquez sur Create topic (Créer un sujet).
3. Fournissez les informations de configuration suivantes :
   • ID du sujet : saisissez tines-audit-trigger.
   • Conservez les valeurs par défaut des autres paramètres.
4. Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run est déclenchée par les messages Pub/Sub de Cloud Scheduler pour extraire les journaux de l'API Tines et les écrire dans GCS.

1. Dans la console GCP, accédez à Cloud Run.
2. Cliquez sur Créer un service.
3. Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

4. Dans la section Configurer, fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nom du service	tines-audit-to-gcs
   Région	Sélectionnez la région correspondant à votre bucket GCS (par exemple, us-central1).
   Runtime (durée d'exécution)	Sélectionnez Python 3.12 ou version ultérieure.

5. Dans la section Déclencheur (facultatif) :

   1. Cliquez sur + Ajouter un déclencheur.
   2. Sélectionnez Cloud Pub/Sub.
   3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet Pub/Sub (tines-audit-trigger).
   4. Cliquez sur Enregistrer.

6. Dans la section Authentification :

   1. Sélectionnez Exiger l'authentification.
   2. Consultez Identity and Access Management (IAM).

7. Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.

8. Accédez à l'onglet Sécurité :

   • Compte de service : sélectionnez le compte de service (tines-audit-to-gcs-sa).

9. Accédez à l'onglet Conteneurs :

   1. Cliquez sur Variables et secrets.
   2. Cliquez sur + Ajouter une variable pour chaque variable d'environnement :

   Nom de la variable	Exemple de valeur	Description
   GCS_BUCKET	tines-audit-logs	Nom du bucket GCS
   GCS_PREFIX	tines/audit/	Préfixe des fichiers journaux
   STATE_KEY	tines/audit/state.json	Chemin d'accès au fichier d'état
   TINES_BASE_URL	https://your-tenant.tines.com	URL de base de l'API
   TINES_API_KEY	your-tines-api-key	Clé API
   LOOKBACK_SECONDS	3600	Période d'analyse initiale
   PAGE_SIZE	500	Enregistrements par page
   MAX_PAGES	20	Nombre maximal de pages par exécution
   HTTP_TIMEOUT	60	Expiration du délai de la requête HTTP
   HTTP_RETRIES	3	Tentatives de réessai HTTP

10. Dans la section Variables et secrets, faites défiler la page jusqu'à Requêtes :

    • Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).

11. Accédez à l'onglet Paramètres :

    • Dans la section Ressources :
      • Mémoire : sélectionnez 512 Mio ou plus.
      • CPU : sélectionnez 1.

12. Dans la section Scaling de révision :

    • Nombre minimal d'instances : saisissez 0.
    • Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).

13. Cliquez sur Créer.

14. Attendez que le service soit créé (1 à 2 minutes).

15. Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

1. Saisissez main dans Point d'entrée de la fonction.

2. Dans l'éditeur de code intégré, créez deux fichiers :

   • Premier fichier : main.py:

   import functions_framework
   from google.cloud import storage
   import json
   import os
   import urllib3
   from datetime import datetime, timezone, timedelta
   import time
   
   # Initialize HTTP client with timeouts
   http = urllib3.PoolManager(
       timeout=urllib3.Timeout(connect=5.0, read=30.0),
       retries=False,
   )
   
   # Initialize Storage client
   storage_client = storage.Client()
   
   # Environment variables
   GCS_BUCKET = os.environ.get('GCS_BUCKET')
   GCS_PREFIX = os.environ.get('GCS_PREFIX', 'tines/audit/')
   STATE_KEY = os.environ.get('STATE_KEY', 'tines/audit/state.json')
   TINES_BASE_URL = os.environ.get('TINES_BASE_URL')
   TINES_API_KEY = os.environ.get('TINES_API_KEY')
   LOOKBACK_SECONDS = int(os.environ.get('LOOKBACK_SECONDS', '3600'))
   PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '500'))
   MAX_PAGES = int(os.environ.get('MAX_PAGES', '20'))
   HTTP_TIMEOUT = int(os.environ.get('HTTP_TIMEOUT', '60'))
   HTTP_RETRIES = int(os.environ.get('HTTP_RETRIES', '3'))
   
   def parse_datetime(value: str) -> datetime:
       """Parse ISO datetime string to datetime object."""
       if value.endswith("Z"):
           value = value[:-1] + "+00:00"
       return datetime.fromisoformat(value)
   
   @functions_framework.cloud_event
   def main(cloud_event):
       """
       Cloud Run function triggered by Pub/Sub to fetch Tines Audit Logs and write to GCS.
   
       Args:
           cloud_event: CloudEvent object containing Pub/Sub message
       """
   
       if not all([GCS_BUCKET, TINES_BASE_URL, TINES_API_KEY]):
           print('Error: Missing required environment variables')
           return
   
       try:
           # Get GCS bucket
           bucket = storage_client.bucket(GCS_BUCKET)
   
           # Load state
           state = load_state(bucket, STATE_KEY)
   
           # Determine time window
           now = datetime.now(timezone.utc)
           last_time = None
   
           if isinstance(state, dict) and state.get("last_event_time"):
               try:
                   last_time = parse_datetime(state["last_event_time"])
                   # Overlap by 2 minutes to catch any delayed events
                   last_time = last_time - timedelta(minutes=2)
               except Exception as e:
                   print(f"Warning: Could not parse last_event_time: {e}")
   
           if last_time is None:
               last_time = now - timedelta(seconds=LOOKBACK_SECONDS)
   
           print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")
   
           # Fetch logs
           records, newest_event_time = fetch_logs(
               api_base=TINES_BASE_URL,
               api_key=TINES_API_KEY,
               start_time=last_time,
               page_size=PAGE_SIZE,
               max_pages=MAX_PAGES,
           )
   
           if not records:
               print("No new log records found.")
               save_state(bucket, STATE_KEY, now.isoformat())
               return
   
           # Write to GCS as NDJSON
           timestamp = now.strftime('%Y%m%d_%H%M%S')
           object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
           blob = bucket.blob(object_key)
   
           ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n'
           blob.upload_from_string(ndjson, content_type='application/x-ndjson')
   
           print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")
   
           # Update state with newest event time
           if newest_event_time:
               save_state(bucket, STATE_KEY, newest_event_time)
           else:
               save_state(bucket, STATE_KEY, now.isoformat())
   
           print(f"Successfully processed {len(records)} records")
   
       except Exception as e:
           print(f'Error processing logs: {str(e)}')
           raise
   
   def load_state(bucket, key):
       """Load state from GCS."""
       try:
           blob = bucket.blob(key)
           if blob.exists():
               state_data = blob.download_as_text()
               return json.loads(state_data)
       except Exception as e:
           print(f"Warning: Could not load state: {e}")
   
       return {}
   
   def save_state(bucket, key, last_event_time_iso: str):
       """Save the last event timestamp to GCS state file."""
       try:
           state = {'last_event_time': last_event_time_iso}
           blob = bucket.blob(key)
           blob.upload_from_string(
               json.dumps(state, indent=2),
               content_type='application/json'
           )
           print(f"Saved state: last_event_time={last_event_time_iso}")
       except Exception as e:
           print(f"Warning: Could not save state: {e}")
   
   def fetch_logs(api_base: str, api_key: str, start_time: datetime, page_size: int, max_pages: int):
       """
       Fetch logs from Tines API with pagination and rate limiting.
   
       Args:
           api_base: API base URL
           api_key: Tines API key
           start_time: Start time for log query
           page_size: Number of records per page
           max_pages: Maximum pages to fetch
   
       Returns:
           Tuple of (records list, newest_event_time ISO string)
       """
       base_url = api_base.rstrip('/')
       endpoint = f"{base_url}/api/v1/audit_logs"
   
       headers = {
           'Authorization': f'Bearer {api_key}',
           'Accept': 'application/json',
           'Content-Type': 'application/json',
           'User-Agent': 'GoogleSecOps-TinesCollector/1.0'
       }
   
       records = []
       newest_time = None
       page_num = 1
       backoff = 1.0
   
       while page_num <= max_pages:
           # Build URL with query parameters
           params = {
               'page': page_num,
               'per_page': page_size
           }
           param_str = '&'.join([f"{k}={v}" for k, v in params.items()])
           url = f"{endpoint}?{param_str}"
   
           try:
               response = http.request('GET', url, headers=headers, timeout=HTTP_TIMEOUT)
   
               # Handle rate limiting with exponential backoff
               if response.status == 429:
                   retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                   print(f"Rate limited (429). Retrying after {retry_after}s...")
                   time.sleep(retry_after)
                   backoff = min(backoff * 2, 30.0)
                   continue
   
               backoff = 1.0
   
               if response.status != 200:
                   print(f"HTTP Error: {response.status}")
                   response_text = response.data.decode('utf-8')
                   print(f"Response body: {response_text}")
                   return [], None
   
               data = json.loads(response.data.decode('utf-8'))
   
               # Extract results
               page_results = []
               if isinstance(data, dict):
                   page_results = data.get('audit_logs', [])
               elif isinstance(data, list):
                   page_results = data
   
               if not page_results:
                   print(f"No more results (empty page)")
                   break
   
               # Filter by start_time
               filtered_results = []
               for event in page_results:
                   try:
                       event_time = event.get('created_at')
                       if event_time:
                           event_dt = parse_datetime(event_time)
                           if event_dt >= start_time:
                               filtered_results.append(event)
                               # Track newest event time
                               if newest_time is None or event_dt > parse_datetime(newest_time):
                                   newest_time = event_time
                   except Exception as e:
                       print(f"Warning: Could not parse event time: {e}")
                       filtered_results.append(event)
   
               print(f"Page {page_num}: Retrieved {len(page_results)} events, {len(filtered_results)} after filtering")
               records.extend(filtered_results)
   
               # Check for more results
               if isinstance(data, dict):
                   meta = data.get('meta', {})
                   next_page = meta.get('next_page_number')
                   if not next_page:
                       print("No more pages (no next_page_number)")
                       break
                   page_num = next_page
               else:
                   # If response is a list, check if we got fewer results than requested
                   if len(page_results) < page_size:
                       print(f"Reached last page (size={len(page_results)} < limit={page_size})")
                       break
                   page_num += 1
   
           except Exception as e:
               print(f"Error fetching logs: {e}")
               if page_num <= HTTP_RETRIES:
                   print(f"Retrying... (attempt {page_num}/{HTTP_RETRIES})")
                   time.sleep(backoff)
                   backoff = min(backoff * 2, 30.0)
                   continue
               return [], None
   
       print(f"Retrieved {len(records)} total records from {page_num} pages")
       return records, newest_time
   

   • Deuxième fichier : requirements.txt:

   functions-framework==3.*
   google-cloud-storage==2.*
   urllib3>=2.0.0
   

3. Cliquez sur Déployer pour enregistrer et déployer la fonction.

4. Attendez la fin du déploiement (deux à trois minutes).

Créer une tâche Cloud Scheduler

Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.

1. Dans la console GCP, accédez à Cloud Scheduler.
2. Cliquez sur Créer une tâche.

3. Fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nom	tines-audit-hourly
   Région	Sélectionnez la même région que la fonction Cloud Run.
   Fréquence	0 * * * * (toutes les heures)
   Fuseau horaire	Sélectionnez un fuseau horaire (UTC recommandé).
   Type de cible	Pub/Sub
   Topic	Sélectionnez le sujet Pub/Sub (tines-audit-trigger).
   Corps du message	{} (objet JSON vide)

4. Cliquez sur Créer.

Options de fréquence de planification

• Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

  Fréquence	Expression Cron	Cas d'utilisation
  Toutes les 5 minutes	*/5 * * * *	Volume élevé, faible latence
  Toutes les 15 minutes	*/15 * * * *	Volume moyen
  Toutes les heures	0 * * * *	Standard (recommandé)
  Toutes les 6 heures	0 */6 * * *	Traitement par lot à faible volume
  Tous les jours	0 0 * * *	Collecte de données historiques

Tester l'intégration

1. Dans la console Cloud Scheduler, recherchez votre job (tines-audit-hourly).
2. Cliquez sur Exécuter de force pour déclencher le job manuellement.
3. Patientez pendant quelques secondes.
4. Accédez à Cloud Run > Services.
5. Cliquez sur le nom de votre fonction (tines-audit-to-gcs).
6. Cliquez sur l'onglet Journaux.

7. Vérifiez que la fonction s'est exécutée correctement. Recherchez les éléments suivants :

   Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
   Page 1: Retrieved X events
   Wrote X records to gs://bucket-name/tines/audit/logs_YYYYMMDD_HHMMSS.ndjson
   Successfully processed X records
   

8. Accédez à Cloud Storage > Buckets.

9. Cliquez sur le nom de votre bucket (tines-audit-logs).

10. Accédez au dossier tines/audit/ :

11. Vérifiez qu'un fichier .ndjson a été créé avec le code temporel actuel.

Si vous constatez des erreurs dans les journaux :

• HTTP 401 : vérifiez les identifiants de l'API dans les variables d'environnement
• HTTP 403 : vérifiez que le compte dispose de l'autorisation AUDIT_LOG_READ
• HTTP 429 : limitation du débit. La fonction effectuera automatiquement une nouvelle tentative avec un intervalle de temps.
• Variables d'environnement manquantes : vérifiez que toutes les variables requises sont définies.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Obtenir l'adresse e-mail du compte de service

1. Accédez à Paramètres SIEM> Flux.
2. Cliquez sur Add New Feed (Ajouter un flux).
3. Cliquez sur Configurer un flux unique.
4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Tines Audit Logs).
5. Sélectionnez Google Cloud Storage V2 comme Type de source.
6. Sélectionnez Tines comme type de journal.

7. Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

1. Accédez à Cloud Storage > Buckets.
2. Cliquez sur le nom de votre bucket (tines-audit-logs).
3. Accédez à l'onglet Autorisations.
4. Cliquez sur Accorder l'accès.
5. Fournissez les informations de configuration suivantes :
   • Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
   • Attribuez des rôles : sélectionnez Lecteur des objets de l'espace de stockage.

6. Cliquez sur Enregistrer.

Configurer un flux dans Google SecOps pour ingérer les journaux d'audit Tines

1. Accédez à Paramètres SIEM> Flux.
2. Cliquez sur Add New Feed (Ajouter un flux).
3. Cliquez sur Configurer un flux unique.
4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Tines Audit Logs).
5. Sélectionnez Google Cloud Storage V2 comme Type de source.
6. Sélectionnez Tines comme type de journal.
7. Cliquez sur Suivant.

8. Spécifiez les valeurs des paramètres d'entrée suivants :

   • URL du bucket Storage : saisissez l'URI du bucket GCS avec le préfixe du chemin d'accès :

     gs://tines-audit-logs/tines/audit/
     

     • Remplacez :

       • tines-audit-logs : nom de votre bucket GCS.
       • tines/audit/ : préfixe/chemin d'accès au dossier dans lequel les journaux sont stockés.

   • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :

     • Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
     • Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.

     • Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.

   • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.

   • Espace de noms de l'élément : espace de noms de l'élément.

   • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.

9. Cliquez sur Suivant.

10. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.