Workday-Audit-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Workday-Audit-Logs mit Google Cloud Storage in Google Security Operations aufnehmen. Der Parser ermittelt zuerst den spezifischen Ereignistyp aus den Logs auf Grundlage der Musteranalyse der JSON-Daten. Anschließend werden relevante Felder entsprechend dem ermittelten Typ extrahiert und strukturiert und einem einheitlichen Datenmodell (Unified Data Model, UDM) zugeordnet, um eine konsistente Sicherheitsanalyse zu ermöglichen.

Hinweis

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Ein GCP-Projekt mit aktivierter Cloud Storage API
Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
Berechtigungen zum Erstellen von Cloud Run-Funktionen, Pub/Sub-Themen und Cloud Scheduler-Jobs
Privilegierter Zugriff auf Workday

Google Cloud Storage-Bucket erstellen

Rufen Sie die Google Cloud Console auf.
Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
Klicken Sie auf Bucket erstellen.

Geben Sie die folgenden Konfigurationsdetails an:

Einstellung	Wert
Bucket benennen	Geben Sie einen global eindeutigen Namen ein, z. B. `workday-audit-logs`.
Standorttyp	Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
Standort	Wählen Sie den Speicherort aus, z. B. `us-central1`.
Speicherklasse	Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
Zugriffssteuerung	Einheitlich (empfohlen)
Schutzmaßnahmen	Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

Klicken Sie auf Erstellen.

Workday-Integrationssystemnutzer erstellen

Suchen Sie in Workday nach Create Integration System User> OK (Nutzer für Integrationssystem erstellen).
Geben Sie den Nutzername ein, z. B. audit_gcs_user.
Klicken Sie auf OK.
Setzen Sie das Passwort zurück, indem Sie zu Zugehörige Aktionen > „Sicherheit“ > „Passwort zurücksetzen“ gehen.
Wählen Sie Kennwortregeln beibehalten aus, damit das Passwort nicht abläuft.
Suchen Sie nach Create Security Group> Integration System Security Group (Unconstrained).
Geben Sie einen Namen an (z. B. ISU_Audit_GCS) und fügen Sie den ISU zu Integration System Users (Integrationssystemnutzer) hinzu.
Suchen Sie nach Domain Security Policies for Functional Area > System (Domänensicherheitsrichtlinien für den Funktionsbereich > System).
Wählen Sie unter Audit-Trail die Option Aktionen > Berechtigungen bearbeiten aus.
Fügen Sie unter Nur abrufen die Gruppe ISU_Audit_GCS hinzu.
Klicken Sie auf OK> Ausstehende Änderungen an der Sicherheitsrichtlinie aktivieren.

Benutzerdefinierten Workday-Bericht konfigurieren

Suchen Sie in Workday nach Create Custom Report (Benutzerdefinierten Bericht erstellen).
Geben Sie die folgenden Konfigurationsdetails an:
- Name: Geben Sie einen eindeutigen Namen ein, z. B. Audit_Trail_BP_JSON.
- Typ: Wählen Sie Erweitert aus.
- Datenquelle: Wählen Sie Audit-Trail – Geschäftsprozess aus.
Klicken Sie auf OK.
Optional: Fügen Sie Filter für Geschäftsprozessart oder Gültigkeitsdatum hinzu.
Rufen Sie den Tab Ausgabe auf.
Wählen Sie Als Webdienst aktivieren und Für Leistung optimiert aus und wählen Sie JSON-Format aus.
Klicken Sie auf OK> Fertig.
Öffnen Sie den Bericht und klicken Sie auf Freigeben > ISU_Audit_GCS mit der Berechtigung „Ansehen“ hinzufügen > OK.
Gehen Sie zu Zugehörige Aktionen > Webdienst > URLs ansehen.
Kopieren Sie die JSON-URL.

Hinweis :Das URL-Format ist spezifisch für Ihren Workday-Tenant und Ihre Region. Der Hostname variiert je nach Umgebung (z. B. wd2-impl-services1.workday.com, wd3-services1.workday.com). Verwenden Sie die genaue URL, die von Workday bereitgestellt wird. Beispielformat: https://wd-servicesN.workday.com/ccx/service/customreport2/<tenant>/<user>/Audit_Trail_BP_JSON?format=json

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
Klicken Sie auf Dienstkonto erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
- Name des Dienstkontos: Geben Sie workday-audit-collector-sa ein.
- Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect Workday audit logs ein.
Klicken Sie auf Erstellen und fortfahren.
Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
1. Klicken Sie auf Rolle auswählen.
2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
3. Klicken Sie auf + Weitere Rolle hinzufügen.
4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
5. Klicken Sie auf + Weitere Rolle hinzufügen.
6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
Klicken Sie auf Weiter.
Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben
Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

Rufen Sie Cloud Storage > Buckets auf.
Klicken Sie auf den Namen Ihres Buckets.
Wechseln Sie zum Tab Berechtigungen.
Klicken Sie auf Zugriff erlauben.
Geben Sie die folgenden Konfigurationsdetails an:
- Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. workday-audit-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

Rufen Sie in der GCP Console Pub/Sub > Themen auf.
Klicken Sie auf Thema erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
- Themen-ID: Geben Sie workday-audit-trigger ein.
- Übernehmen Sie die anderen Einstellungen.
Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Protokolle von der Workday API abzurufen und in GCS zu schreiben.

Rufen Sie in der GCP Console Cloud Run auf.
Klicken Sie auf Dienst erstellen.
Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

Einstellung	Wert
Dienstname	`workday-audit-collector`
Region	Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. `us-central1`).
Laufzeit	Wählen Sie Python 3.12 oder höher aus.

Im Abschnitt Trigger (optional):
1. Klicken Sie auf + Trigger hinzufügen.
2. Wählen Sie Cloud Pub/Sub aus.
3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Thema workday-audit-trigger aus.
4. Klicken Sie auf Speichern.
Im Abschnitt Authentifizierung:
1. Wählen Sie Authentifizierung erforderlich aus.
2. Identitäts- und Zugriffsverwaltung
Hinweis: Pub/Sub übernimmt die Authentifizierung beim Aufrufen der Funktion automatisch.
Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.
Rufen Sie den Tab Sicherheit auf:
- Dienstkonto: Wählen Sie das Dienstkonto workday-audit-collector-sa aus.

Rufen Sie den Tab Container auf:

Klicken Sie auf Variablen und Secrets.
Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:

Variablenname	Beispielwert
`GCS_BUCKET`	`workday-audit-logs`
`WD_USER`	`audit_gcs_user`
`WD_PASS`	`your-workday-password`
`WD_URL`	`https://wd-servicesN.workday.com/ccx/service/customreport2/<tenant>/<user>/Audit_Trail_BP_JSON?format=json`

Scrollen Sie auf dem Tab Variablen und Secrets nach unten zu Anfragen:
- Zeitlimit für Anfragen: Geben Sie 600 Sekunden (10 Minuten) ein.
Rufen Sie den Tab Einstellungen unter Container auf:
- Im Abschnitt Ressourcen:
  - Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
  - CPU: Wählen Sie 1 aus.
- Klicken Sie auf Fertig.
Scrollen Sie zu Ausführungsumgebung:
- Wählen Sie Standard aus (empfohlen).
Im Abschnitt Versionsskalierung:
- Mindestanzahl von Instanzen: Geben Sie 0 ein.
- Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).
Klicken Sie auf Erstellen.
Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.
Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

Geben Sie main unter Funktionseinstiegspunkt ein.

Erstellen Sie im Inline-Codeeditor zwei Dateien:

Erste Datei: main.py::

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import base64
import gzip
import io
import uuid

# Initialize HTTP client
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch logs from Workday API and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    wd_user = os.environ.get('WD_USER')
    wd_pass = os.environ.get('WD_PASS')
    wd_url = os.environ.get('WD_URL')

    if not all([bucket_name, wd_user, wd_pass, wd_url]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        print(f'Fetching Workday audit report from {wd_url}')

        # Fetch report from Workday
        data = fetch_report(wd_url, wd_user, wd_pass)

        # Upload to GCS
        timestamp = datetime.now(timezone.utc)
        upload(bucket, data, timestamp)

        print(f'Successfully uploaded Workday audit report ({len(data)} bytes raw)')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def fetch_report(url, username, password):
    """Fetch report from Workday using Basic Auth."""
    credentials = f"{username}:{password}"
    credentials_bytes = credentials.encode('utf-8')
    auth_header = b"Basic " + base64.b64encode(credentials_bytes)

    req_headers = {
        "Authorization": auth_header.decode('utf-8')
    }

    response = http.request('GET', url, headers=req_headers)

    if response.status != 200:
        raise Exception(f"Failed to fetch report: HTTP {response.status}")

    return response.data

def upload(bucket, payload, ts):
    """Upload gzipped JSON to GCS."""
    key = f"{ts:%Y/%m/%d}/workday-audit-{uuid.uuid4()}.json.gz"

    buf = io.BytesIO()
    with gzip.GzipFile(fileobj=buf, mode='w') as gz:
        gz.write(payload)
    buf.seek(0)

    blob = bucket.blob(key)
    blob.upload_from_file(buf, content_type='application/gzip')

    print(f'Uploaded to gs://{bucket.name}/{key}')

Zweite Datei: requirements.txt::

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.
Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).

Hinweis :Bei der Konfiguration des Pub/Sub-Triggers werden automatisch die erforderlichen Abos und Berechtigungen erstellt.

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema und löst so die Cloud Run-Funktion aus.

Rufen Sie in der GCP Console Cloud Scheduler auf.
Klicken Sie auf Job erstellen.

Geben Sie die folgenden Konfigurationsdetails an:

Einstellung	Wert
Name	`workday-audit-collector-daily`
Region	Dieselbe Region wie für die Cloud Run-Funktion auswählen
Frequenz	`20 2 * * *` (wird täglich um 02:20 Uhr UTC ausgeführt)
Zeitzone	Zeitzone auswählen (UTC empfohlen)
Zieltyp	Pub/Sub
Thema	Wählen Sie das Thema `workday-audit-trigger` aus.
Nachrichtentext	`{}` (leeres JSON-Objekt)

Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

Häufigkeit	Cron-Ausdruck	Anwendungsfall
Alle 5 Minuten	`/5 * * *`	Hohes Volumen, niedrige Latenz
Alle 15 Minuten	`/15 * * *`	Mittleres Suchvolumen
Stündlich	`0 * * * *`	Standard
Alle 6 Stunden	`0 /6 * *`	Geringes Volumen, Batchverarbeitung
Täglich	`20 2 * * *`	Erhebung von Verlaufsdaten (empfohlen)

Scheduler-Job testen

Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job.
Klicken Sie auf Force run (Ausführung erzwingen), um die Ausführung manuell auszulösen.
Warten Sie einige Sekunden und rufen Sie dann Cloud Run > Dienste > workday-audit-collector > Logs auf.
Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde.
Prüfen Sie im GCS-Bucket, ob Logs geschrieben wurden.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

E-Mail-Adresse des Dienstkontos abrufen

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf Einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Workday Audit Logs.
Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
Wählen Sie Workday Audit als Logtyp aus.
Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Kopieren Sie diese E‑Mail-Adresse für den nächsten Schritt.

Hinweis :Jede Google SecOps-Instanz hat ein eindeutiges Dienstkonto. Verwenden Sie keine Dienstkonten aus anderer Dokumentation oder anderen Beispielen.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

Rufen Sie Cloud Storage > Buckets auf.
Klicken Sie auf den Namen Ihres Buckets.
Wechseln Sie zum Tab Berechtigungen.
Klicken Sie auf Zugriff erlauben.
Geben Sie die folgenden Konfigurationsdetails an:
- Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
- Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.
Klicken Sie auf Speichern.

Hinweis: Wenn Sie die Löschoption „Übertragene Dateien löschen“ oder „Übertragene Dateien und leere Verzeichnisse löschen“ verwenden möchten, weisen Sie die Rolle Storage-Objekt-Administrator anstelle von „Storage-Objekt-Betrachter“ zu.

Feed in Google SecOps konfigurieren, um Workday-Audit-Logs aufzunehmen

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf Einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Workday Audit Logs.
Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
Wählen Sie Workday Audit als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:
```
gs://workday-audit-logs/
```
  - Ersetzen Sie workday-audit-logs durch den Namen Ihres tatsächlichen GCS-Buckets.
  Hinweis :Fügen Sie immer den Schrägstrich (/) am Ende des URI ein.
- Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:
  - Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
  - Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.
  - Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.
  Hinweis :Wenn Sie eine Löschoption auswählen, muss das Dienstkonto die Rolle Storage-Objekt-Administrator anstelle von „Storage-Objekt-Betrachter“ haben. Aktualisieren Sie die IAM-Berechtigungen entsprechend.
- Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
- Asset-Namespace: Der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
Konto	metadata.event_type	Wenn das Feld „Konto“ nicht leer ist, wird das Feld „metadata.event_type“ auf „USER_RESOURCE_UPDATE_CONTENT“ festgelegt.
Konto	principal.user.primaryId	Die Nutzer-ID wird mit einem Grok-Muster aus dem Feld „Konto“ extrahiert und principal.user.primaryId zugeordnet.
Konto	principal.user.primaryName	Der Anzeigename des Nutzers wird mithilfe eines Grok-Musters aus dem Feld „Konto“ extrahiert und „principal.user.primaryName“ zugeordnet.
ActivityCategory	metadata.event_type	Wenn das Feld „ActivityCategory“ auf „READ“ festgelegt ist, wird das Feld „metadata.event_type“ auf „RESOURCE_READ“ festgelegt. Wenn „WRITE“, wird „RESOURCE_WRITTEN“ festgelegt.
ActivityCategory	metadata.product_event_type	Direkt aus dem Feld „ActivityCategory“ zugeordnet.
AffectedGroups	target.user.group_identifiers	Direkt aus dem Feld „AffectedGroups“ zugeordnet.
Region	target.resource.attribute.labels.area.value	Direkt aus dem Feld „Area“ (Bereich) zugeordnet.
AuthType	extensions.auth.auth_details	Direkt aus dem Feld „AuthType“ zugeordnet.
AuthType	extensions.auth.type	Wird anhand bestimmter Werte aus dem Feld „AuthType“ verschiedenen im UDM definierten Authentifizierungstypen zugeordnet.
CFIPdeConexion	src.domain.name	Wenn das Feld „CFIPdeConexion“ keine gültige IP-Adresse ist, wird es „src.domain.name“ zugeordnet.
CFIPdeConexion	target.ip	Wenn das Feld „CFIPdeConexion“ eine gültige IP-Adresse ist, wird es „target.ip“ zugeordnet.
ChangedRelationship	metadata.description	Direkt aus dem Feld „ChangedRelationship“ zugeordnet.
ClassOfInstance	target.resource.attribute.labels.class_instance.value	Direkt aus dem Feld „ClassOfInstance“ zugeordnet.
column18	about.labels.utub.value	Direkt aus dem Feld „column18“ zugeordnet.
CreatedBy	principal.user.userid	Die Nutzer-ID wird mit einem Grok-Muster aus dem Feld „CreatedBy“ extrahiert und „principal.user.userid“ zugeordnet.
CreatedBy	principal.user.user_display_name	Der Anzeigename des Nutzers wird mit einem Grok-Muster aus dem Feld „CreatedBy“ extrahiert und „principal.user.user_display_name“ zugeordnet.
Domain	about.domain.name	Direkt aus dem Feld „Domain“ zugeordnet.
EffectiveDate	@timestamp	Wird in „@timestamp“ geparst, nachdem es in das Format „JJJJ-MM-TT HH:mm:ss.SSSZ“ konvertiert wurde.
EntryMoment	@timestamp	Wird nach der Konvertierung in das ISO8601-Format in „@timestamp“ geparst.
EventType	security_result.description	Direkt aus dem Feld „EventType“ zugeordnet.
Formular	target.resource.name	Direkt aus dem Feld „Formular“ zugeordnet.
InstancesAdded	about.resource.attribute.labels.instances_added.value	Direkt aus dem Feld „InstancesAdded“ zugeordnet.
InstancesAdded	target.user.attribute.roles.instances_added.name	Direkt aus dem Feld „InstancesAdded“ zugeordnet.
InstancesRemoved	about.resource.attribute.labels.instances_removed.value	Direkt aus dem Feld „InstancesRemoved“ zugeordnet.
InstancesRemoved	target.user.attribute.roles.instances_removed.name	Direkt aus dem Feld „InstancesRemoved“ zugeordnet.
IntegrationEvent	target.resource.attribute.labels.integration_event.value	Direkt aus dem Feld „IntegrationEvent“ zugeordnet.
IntegrationStatus	security_result.action_details	Direkt aus dem Feld „IntegrationStatus“ zugeordnet.
IntegrationSystem	target.resource.name	Direkt aus dem Feld „IntegrationSystem“ zugeordnet.
IP	src.domain.name	Wenn das Feld „IP“ keine gültige IP-Adresse ist, wird es „src.domain.name“ zugeordnet.
IP	src.ip	Wenn das Feld „IP“ eine gültige IP-Adresse ist, wird es „src.ip“ zugeordnet.
IsDeviceManaged	additional.fields.additional1.value.string_value	Wenn das Feld „IsDeviceManaged“ auf „N“ gesetzt ist, wird der Wert auf „Erfolgreich“ gesetzt. Andernfalls wird „Fehler bei der Anmeldung“ festgelegt.
IsDeviceManaged	additional.fields.additional2.value.string_value	Wenn das Feld „IsDeviceManaged“ auf „N“ gesetzt ist, wird der Wert auf „Erfolgreich“ gesetzt. Andernfalls wird er auf „Ungültige Anmeldedaten“ gesetzt.
IsDeviceManaged	additional.fields.additional3.value.string_value	Wenn das Feld „IsDeviceManaged“ auf „N“ gesetzt ist, wird der Wert auf „Erfolgreich“ gesetzt. Andernfalls wird er auf „Konto gesperrt“ gesetzt.
IsDeviceManaged	security_result.action_details	Direkt aus dem Feld „IsDeviceManaged“ zugeordnet.
OutputFiles	about.file.full_path	Direkt aus dem Feld „OutputFiles“ zugeordnet.
Person	principal.user.primaryId	Wenn das Feld „Person“ mit „INT“ beginnt, wird die Nutzer-ID mit einem Grok-Muster extrahiert und „principal.user.primaryId“ zugeordnet.
Person	principal.user.primaryName	Wenn das Feld „Person“ mit „INT“ beginnt, wird der Anzeigename des Nutzers mit einem Grok-Muster extrahiert und „principal.user.primaryName“ zugeordnet.
Person	principal.user.user_display_name	Wenn das Feld „Person“ nicht mit „INT“ beginnt, wird es direkt „principal.user.user_display_name“ zugeordnet.
Person	metadata.event_type	Wenn das Feld „Person“ nicht leer ist, wird das Feld „metadata.event_type“ auf „USER_RESOURCE_UPDATE_CONTENT“ gesetzt.
ProcessedTransaction	target.resource.attribute.creation_time	Wird in „target.resource.attribute.creation_time“ geparst,nachdem es in das Format „TT/MM/JJJJ HH:mm:ss,SSS (ZZZ)“, „TT/MM/JJJJ,HH:mm:ss,SSS (ZZZ)“ oder „MM/TT/JJJJ, HH:mm:ss.SSS A ZZZ“ konvertiert wurde.
ProgramBy	principal.user.userid	Direkt aus dem Feld „ProgramBy“ zugeordnet.
RecurrenceEndDate	principal.resource.attribute.last_update_time	Nach der Konvertierung in das Format „JJJJ-MM-TT“ in „principal.resource.attribute.last_update_time“ geparst.
RecurrenceStartDate	principal.resource.attribute.creation_time	Wird nach der Konvertierung in das Format „JJJJ-MM-TT“ in „principal.resource.attribute.creation_time“ geparst.
RequestName	metadata.description	Direkt aus dem Feld „RequestName“ zugeordnet.
ResponseMessage	security_result.summary	Direkt aus dem Feld „ResponseMessage“ zugeordnet.
RestrictedToEnvironment	security_result.about.hostname	Direkt aus dem Feld „RestrictedToEnvironment“ zugeordnet.
RevokedSecurity	security_result.outcomes.outcomes.value	Direkt aus dem Feld „RevokedSecurity“ zugeordnet.
RunFrequency	principal.resource.attribute.labels.run_frequency.value	Direkt aus dem Feld „RunFrequency“ zugeordnet.
ScheduledProcess	principal.resource.name	Direkt aus dem Feld „ScheduledProcess“ zugeordnet.
SecuredTaskExecuted	target.resource.name	Direkt aus dem Feld „SecuredTaskExecuted“ zugeordnet.
SecureTaskExecuted	metadata.event_type	Wenn das Feld „SecureTaskExecuted“ den Wert „Create“ enthält, wird das Feld „metadata.event_type“ auf „USER_RESOURCE_CREATION“ festgelegt.
SecureTaskExecuted	target.resource.name	Direkt aus dem Feld „SecureTaskExecuted“ zugeordnet.
SentTime	@timestamp	Wird nach der Konvertierung in das ISO8601-Format in „@timestamp“ geparst.
SessionId (Sitzungs-ID)	network.session_id	Direkt aus dem Feld „SessionId“ zugeordnet.
ShareBy	target.user.userid	Direkt aus dem Feld „ShareBy“ zugeordnet.
SignOffTime	additional.fields.additional4.value.string_value	Der Feldwert „AuthFailMessage“ wird mit dem Schlüssel „Enterprise Interface Builder“ in das Array „additional.fields“ eingefügt.
SignOffTime	metadata.description	Direkt aus dem Feld „AuthFailMessage“ zugeordnet.
SignOffTime	metadata.event_type	Wenn das Feld „SignOffTime“ leer ist, wird das Feld „metadata.event_type“ auf „USER_LOGIN“ festgelegt. Andernfalls wird er auf „USER_LOGOUT“ gesetzt.
SignOffTime	principal.user.attribute.last_update_time	Wird nach der Konvertierung ins ISO8601-Format in „principal.user.attribute.last_update_time“ geparst.
SignOnIp	src.domain.name	Wenn das Feld „SignOnIp“ keine gültige IP-Adresse ist, wird es „src.domain.name“ zugeordnet.
SignOnIp	src.ip	Wenn das Feld „SignOnIp“ eine gültige IP-Adresse ist, wird es „src.ip“ zugeordnet.
Status	metadata.product_event_type	Direkt aus dem Feld „Status“ zugeordnet.
SystemAccount	principal.user.email_addresses	Die E‑Mail-Adresse wird mit einem Grok-Muster aus dem Feld „SystemAccount“ extrahiert und „principal.user.email_addresses“ zugeordnet.
SystemAccount	principal.user.primaryId	Die Nutzer-ID wird mit einem Grok-Muster aus dem Feld „SystemAccount“ extrahiert und „principal.user.primaryId“ zugeordnet.
SystemAccount	principal.user.primaryName	Der Anzeigename des Nutzers wird mit einem Grok-Muster aus dem Feld „SystemAccount“ extrahiert und „principal.user.primaryName“ zugeordnet.
SystemAccount	src.user.userid	Die sekundäre Nutzer-ID wird mit einem Grok-Muster aus dem Feld „SystemAccount“ extrahiert und „src.user.userid“ zugeordnet.
SystemAccount	src.user.user_display_name	Der Anzeigename des sekundären Nutzers wird mithilfe eines Grok-Musters aus dem Feld „SystemAccount“ extrahiert und „src.user.user_display_name“ zugeordnet.
SystemAccount	target.user.userid	Die Ziel-Nutzer-ID wird mit einem Grok-Muster aus dem Feld „SystemAccount“ extrahiert und „target.user.userid“ zugeordnet.
Ziel	target.user.user_display_name	Direkt aus dem Feld „Ziel“ übernommen.
Vorlage	about.resource.name	Direkt aus dem Feld „Vorlage“ zugeordnet.
Mandant	target.asset.hostname	Direkt aus dem Feld „Mandant“ zugeordnet.
TlsVersion	network.tls.version	Direkt aus dem Feld „TlsVersion“ zugeordnet.
Transaktion	security_result.action_details	Direkt aus dem Feld „Transaktion“ zugeordnet.
TransactionType	security_result.summary	Direkt aus dem Feld „TransactionType“ zugeordnet.
TypeForm	target.resource.resource_subtype	Direkt aus dem Feld „TypeForm“ zugeordnet.
User-Agent	network.http.parsed_user_agent	Wird mit dem Filter „useragent“ aus dem Feld „UserAgent“ geparst.
User-Agent	network.http.user_agent	Direkt aus dem Feld „UserAgent“ zugeordnet.
WorkdayAccount	target.user.user_display_name	Der Anzeigename des Nutzers wird mithilfe eines Grok-Musters aus dem Feld „WorkdayAccount“ extrahiert und „target.user.user_display_name“ zugeordnet.
WorkdayAccount	target.user.userid	Die Nutzer-ID wird mit einem Grok-Muster aus dem Feld „WorkdayAccount“ extrahiert und „target.user.userid“ zugeordnet.
additional.fields.additional1.key	Auf „FailedSignOn“ festgelegt.
additional.fields.additional2.key	Auf „InvalidCredentials“ festgelegt.
additional.fields.additional3.key	Legen Sie diesen Wert auf „AccountLocked“ fest.
additional.fields.additional4.key	Legen Sie diesen Wert auf „Enterprise Interface Builder“ fest.
metadata.event_type	Wird anfangs auf „GENERIC_EVENT“ festgelegt und dann basierend auf der Logik mit anderen Feldern aktualisiert.
metadata.event_type	Für bestimmte Ereignistypen auf „USER_CHANGE_PERMISSIONS“ festlegen.
metadata.event_type	Für bestimmte Ereignistypen auf „RESOURCE_WRITTEN“ festgelegt.
metadata.log_type	Fest codiert auf „WORKDAY_AUDIT“.
metadata.product_name	Fest codiert auf „Enterprise Interface Builder“.
metadata.vendor_name	Fest codiert auf „Workday“.
principal.asset.category	Wird auf „Phone“ festgelegt, wenn das Feld „DeviceType“ den Wert „Phone“ hat.
principal.resource.resource_type	Wenn das Feld „ScheduledProcess“ nicht leer ist, wird der Wert „TASK“ fest codiert.
security_result.action	Wird basierend auf den Werten der Felder „FailedSignOn“, „IsDeviceManaged“, „InvalidCredentials“ und „AccountLocked“ auf „ALLOW“ oder „FAIL“ festgelegt.
security_result.summary	Wird auf „Erfolgreich“ oder auf bestimmte Fehlermeldungen basierend auf den Werten der Felder „FailedSignOn“, „IsDeviceManaged“, „InvalidCredentials“ und „AccountLocked“ festgelegt.
target.resource.resource_type	Für bestimmte Ereignistypen fest auf „TASK“ codiert.
target.resource.resource_type	Ist das Feld „TypeForm“ nicht leer, ist der Wert fest auf „DATASET“ codiert.
Nachricht	principal.user.email_addresses	Extrahiert die E-Mail-Adresse aus dem Feld „message“ (Nachricht) mithilfe eines Grok-Musters und führt sie in „principal.user.email_addresses“ zusammen, wenn ein bestimmtes Muster übereinstimmt.
Nachricht	src.user.userid	Löscht das Feld, wenn das Feld „event.idm.read_only_udm.principal.user.userid“ mit dem extrahierten „user_target“ aus dem Feld „message“ übereinstimmt.
Nachricht	src.user.user_display_name	Löscht das Feld, wenn das Feld „event.idm.read_only_udm.principal.user.userid“ mit dem extrahierten „user_target“ aus dem Feld „message“ übereinstimmt.
Nachricht	target.user.userid	Extrahiert die Nutzer-ID aus dem Feld „message“ (Nachricht) mithilfe eines Grok-Musters und ordnet sie „target.user.userid“ zu, wenn ein bestimmtes Muster gefunden wird.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten