Recopila registros de auditoría de Workday

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de auditoría de Workday a Google Security Operations con Google Cloud Storage. Primero, el analizador identifica el tipo de evento específico de los registros en función del análisis de patrones de los datos JSON. Luego, extrae y estructura los campos pertinentes según el tipo identificado, y los asigna a un modelo de datos unificado (UDM) para realizar un análisis de seguridad coherente.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Un proyecto de GCP con la API de Cloud Storage habilitada
Permisos para crear y administrar buckets de GCS
Permisos para administrar políticas de IAM en buckets de GCS
Permisos para crear funciones de Cloud Run, temas de Pub/Sub y trabajos de Cloud Scheduler
Acceso con privilegios a Workday

Crea un bucket de Google Cloud Storage

Ve a Google Cloud Console.
Selecciona tu proyecto o crea uno nuevo.
En el menú de navegación, ve a Cloud Storage > Buckets.
Haz clic en Crear bucket.

Proporciona los siguientes detalles de configuración:

Configuración	Valor
Asigna un nombre a tu bucket	Ingresa un nombre global único (por ejemplo, `workday-audit-logs`).
Tipo de ubicación	Elige según tus necesidades (región, birregional, multirregional)
Ubicación	Selecciona la ubicación (por ejemplo, `us-central1`).
Clase de almacenamiento	Estándar (recomendado para los registros a los que se accede con frecuencia)
Control de acceso	Uniforme (recomendado)
Herramientas de protección	Opcional: Habilita el control de versiones de objetos o la política de retención

Haz clic en Crear.

Crea un usuario del sistema de integración (ISU) de Workday

En Workday, busca Create Integration System User > OK.
Completa el Nombre de usuario (por ejemplo, audit_gcs_user).
Haz clic en Aceptar.
Para restablecer la contraseña, ve a Acciones relacionadas > Seguridad > Restablecer contraseña.
Selecciona Mantener reglas de contraseñas para evitar que la contraseña venza.
Busca Create Security Group > Integration System Security Group (Unconstrained).
Proporciona un nombre (por ejemplo, ISU_Audit_GCS) y agrega el ISU a Integration System Users.
Busca Políticas de seguridad del dominio para el área funcional > Sistema.
En Registro de auditoría, selecciona Acciones > Editar permisos.
En Get Only, agrega el grupo ISU_Audit_GCS.
Haz clic en Aceptar > Activar cambios pendientes en la política de seguridad.

Configura el informe personalizado de Workday

En Workday, busca Create Custom Report.
Proporciona los siguientes detalles de configuración:
- Nombre: Ingresa un nombre único (por ejemplo, Audit_Trail_BP_JSON).
- Tipo: Selecciona Avanzado.
- Fuente de datos: Selecciona Registro de auditoría: Proceso comercial.
Haz clic en Aceptar.
Opcional: Agrega filtros en Tipo de proceso comercial o Fecha de entrada en vigencia.
Ve a la pestaña Salida.
Selecciona Habilitar como servicio web, Optimizado para el rendimiento y Formato JSON.
Haz clic en Aceptar > Listo.
Abre el informe y haz clic en Compartir > agrega ISU_Audit_GCS con permiso de visualización > Aceptar.
Ve a Acciones relacionadas > Servicio web > Ver URLs.
Copia la URL de JSON.

Nota: El formato de la URL será específico para tu arrendatario y región de Workday. El nombre de host variará según tu entorno (por ejemplo, wd2-impl-services1.workday.com, wd3-services1.workday.com). Usa la URL exacta que proporciona Workday. Formato de ejemplo: https://wd-servicesN.workday.com/ccx/service/customreport2/<tenant>/<user>/Audit_Trail_BP_JSON?format=json

Crea una cuenta de servicio para la Cloud Run Function

La Cloud Run Function necesita una cuenta de servicio con permisos para escribir en el bucket de GCS y ser invocada por Pub/Sub.

Crear cuenta de servicio

En GCP Console, ve a IAM y administración > Cuentas de servicio.
Haz clic en Crear cuenta de servicio.
Proporciona los siguientes detalles de configuración:
- Nombre de la cuenta de servicio: Ingresa workday-audit-collector-sa.
- Descripción de la cuenta de servicio: Ingresa Service account for Cloud Run function to collect Workday audit logs.
Haz clic en Crear y continuar.
En la sección Otorga a esta cuenta de servicio acceso al proyecto, agrega los siguientes roles:
1. Haz clic en Selecciona un rol.
2. Busca y selecciona Administrador de objetos de almacenamiento.
3. Haz clic en + Agregar otra función.
4. Busca y selecciona Invocador de Cloud Run.
5. Haz clic en + Agregar otra función.
6. Busca y selecciona Cloud Functions Invoker.
Haz clic en Continuar.
Haz clic en Listo.

Estos roles son necesarios para las siguientes acciones:

Administrador de objetos de Storage: Escribe registros en el bucket de GCS
Invocador de Cloud Run: Permite que Pub/Sub invoque la función
Cloud Functions Invoker: Permite la invocación de funciones

Otorga permisos de IAM en el bucket de GCS

Otorga permisos de escritura a la cuenta de servicio en el bucket de GCS:

Ve a Cloud Storage > Buckets.
Haz clic en el nombre de tu bucket.
Ve a la pestaña Permisos.
Haz clic en Otorgar acceso.
Proporciona los siguientes detalles de configuración:
- Agregar principales: Ingresa el correo electrónico de la cuenta de servicio (por ejemplo, workday-audit-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Asignar roles: Selecciona Administrador de objetos de Storage.
Haz clic en Guardar.

Crear tema de Pub/Sub

Crea un tema de Pub/Sub en el que Cloud Scheduler publicará y al que se suscribirá la función de Cloud Run.

En GCP Console, ve a Pub/Sub > Temas.
Haz clic en Crear un tema.
Proporciona los siguientes detalles de configuración:
- ID del tema: Ingresa workday-audit-trigger.
- Deja el resto de la configuración con sus valores predeterminados.
Haz clic en Crear.

Crea una función de Cloud Run para recopilar registros

La función de Cloud Run se activa con mensajes de Pub/Sub de Cloud Scheduler para recuperar registros de la API de Workday y escribirlos en GCS.

En GCP Console, ve a Cloud Run.
Haz clic en Crear servicio.
Selecciona Función (usa un editor intercalado para crear una función).

En la sección Configurar, proporciona los siguientes detalles de configuración:

Configuración	Valor
Nombre del servicio	`workday-audit-collector`
Región	Selecciona la región que coincida con tu bucket de GCS (por ejemplo, `us-central1`).
Tiempo de ejecución	Selecciona Python 3.12 o una versión posterior.

En la sección Activador (opcional), haz lo siguiente:
1. Haz clic en + Agregar activador.
2. Selecciona Cloud Pub/Sub.
3. En Selecciona un tema de Cloud Pub/Sub, elige el tema workday-audit-trigger.
4. Haz clic en Guardar.
En la sección Autenticación, haz lo siguiente:
1. Selecciona Solicitar autenticación.
2. Verifica Identity and Access Management (IAM).
Nota: Pub/Sub controla automáticamente la autenticación cuando invoca la función.
Desplázate hacia abajo y expande Contenedores, redes y seguridad.
Ve a la pestaña Seguridad:
- Cuenta de servicio: Selecciona la cuenta de servicio workday-audit-collector-sa.

Ve a la pestaña Contenedores:

Haz clic en Variables y secretos.
Haz clic en + Agregar variable para cada variable de entorno:

Nombre de la variable	Valor de ejemplo
`GCS_BUCKET`	`workday-audit-logs`
`WD_USER`	`audit_gcs_user`
`WD_PASS`	`your-workday-password`
`WD_URL`	`https://wd-servicesN.workday.com/ccx/service/customreport2/<tenant>/<user>/Audit_Trail_BP_JSON?format=json`

En la pestaña Variables y Secrets, desplázate hacia abajo hasta Requests:
- Tiempo de espera de la solicitud: Ingresa 600 segundos (10 minutos).
Ve a la pestaña Configuración en Contenedores:
- En la sección Recursos, haz lo siguiente:
  - Memoria: Selecciona 512 MiB o más.
  - CPU: Selecciona 1.
- Haz clic en Listo.
Desplázate hasta Entorno de ejecución:
- Selecciona Predeterminado (recomendado).
En la sección Ajuste de escala de revisión, haz lo siguiente:
- Cantidad mínima de instancias: Ingresa 0.
- Cantidad máxima de instancias: Ingresa 100 (o ajusta según la carga esperada).
Haz clic en Crear.
Espera a que se cree el servicio (de 1 a 2 minutos).
Después de crear el servicio, se abrirá automáticamente el editor de código intercalado.

Agregar el código de función

Ingresa main en Punto de entrada de la función.

En el editor de código intercalado, crea dos archivos:

Primer archivo: main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import base64
import gzip
import io
import uuid

# Initialize HTTP client
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch logs from Workday API and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    wd_user = os.environ.get('WD_USER')
    wd_pass = os.environ.get('WD_PASS')
    wd_url = os.environ.get('WD_URL')

    if not all([bucket_name, wd_user, wd_pass, wd_url]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        print(f'Fetching Workday audit report from {wd_url}')

        # Fetch report from Workday
        data = fetch_report(wd_url, wd_user, wd_pass)

        # Upload to GCS
        timestamp = datetime.now(timezone.utc)
        upload(bucket, data, timestamp)

        print(f'Successfully uploaded Workday audit report ({len(data)} bytes raw)')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def fetch_report(url, username, password):
    """Fetch report from Workday using Basic Auth."""
    credentials = f"{username}:{password}"
    credentials_bytes = credentials.encode('utf-8')
    auth_header = b"Basic " + base64.b64encode(credentials_bytes)

    req_headers = {
        "Authorization": auth_header.decode('utf-8')
    }

    response = http.request('GET', url, headers=req_headers)

    if response.status != 200:
        raise Exception(f"Failed to fetch report: HTTP {response.status}")

    return response.data

def upload(bucket, payload, ts):
    """Upload gzipped JSON to GCS."""
    key = f"{ts:%Y/%m/%d}/workday-audit-{uuid.uuid4()}.json.gz"

    buf = io.BytesIO()
    with gzip.GzipFile(fileobj=buf, mode='w') as gz:
        gz.write(payload)
    buf.seek(0)

    blob = bucket.blob(key)
    blob.upload_from_file(buf, content_type='application/gzip')

    print(f'Uploaded to gs://{bucket.name}/{key}')

Segundo archivo: requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Haz clic en Implementar para guardar y, luego, implementar la función.
Espera a que se complete la implementación (de 2 a 3 minutos).

Nota: La configuración del activador de Pub/Sub crea automáticamente las suscripciones y los permisos necesarios.

Crea un trabajo de Cloud Scheduler

Cloud Scheduler publica mensajes en el tema de Pub/Sub a intervalos regulares, lo que activa la función de Cloud Run.

En GCP Console, ve a Cloud Scheduler.
Haz clic en Crear trabajo.

Proporciona los siguientes detalles de configuración:

Configuración	Valor
Nombre	`workday-audit-collector-daily`
Región	Selecciona la misma región que la función de Cloud Run
Frecuencia	`20 2 * * *` (se ejecuta todos los días a las 02:20 UTC)
Zona horaria	Selecciona la zona horaria (se recomienda UTC)
Tipo de orientación	Pub/Sub
Tema	Selecciona el tema `workday-audit-trigger`.
Cuerpo del mensaje	`{}` (objeto JSON vacío)

Haz clic en Crear.

Opciones de frecuencia de programación

Elige la frecuencia según los requisitos de latencia y volumen de registros:

Frecuencia	Expresión cron	Caso de uso
Cada 5 minutos	`/5 * * *`	Alto volumen y baja latencia
Cada 15 minutos	`/15 * * *`	Volumen medio
Cada 1 hora	`0 * * * *`	Estándar
Cada 6 horas	`0 /6 * *`	Procesamiento por lotes y volumen bajo
Diario	`20 2 * * *`	Recopilación de datos históricos (recomendado)

Prueba el trabajo de Scheduler

En la consola de Cloud Scheduler, busca tu trabajo.
Haz clic en Forzar ejecución para activarlo de forma manual.
Espera unos segundos y ve a Cloud Run > Servicios > workday-audit-collector > Registros.
Verifica que la función se haya ejecutado correctamente.
Verifica el bucket de GCS para confirmar que se escribieron los registros.

Recupera la cuenta de servicio de Google SecOps

Las Operaciones de seguridad de Google usan una cuenta de servicio única para leer datos de tu bucket de GCS. Debes otorgar acceso a tu bucket a esta cuenta de servicio.

Obtén el correo electrónico de la cuenta de servicio

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
Haz clic en Configura un feed único.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Workday Audit Logs).
Selecciona Google Cloud Storage V2 como el Tipo de fuente.
Selecciona Auditoría de jornada laboral como el Tipo de registro.
Haz clic en Obtener cuenta de servicio. Se muestra un correo electrónico único de la cuenta de servicio, por ejemplo:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copia esta dirección de correo electrónico para usarla en el siguiente paso.

Nota: Cada instancia de Google SecOps tiene una cuenta de servicio única. No uses cuentas de servicio de otros ejemplos o documentación.

Otorga permisos de IAM a la cuenta de servicio de Google SecOps

La cuenta de servicio de Google SecOps necesita el rol de visualizador de objetos de almacenamiento en tu bucket de GCS.

Ve a Cloud Storage > Buckets.
Haz clic en el nombre de tu bucket.
Ve a la pestaña Permisos.
Haz clic en Otorgar acceso.
Proporciona los siguientes detalles de configuración:
- Agregar principales: Pega el correo electrónico de la cuenta de servicio de Google SecOps.
- Asignar roles: Selecciona Visualizador de objetos de Storage.
Haz clic en Guardar.

Nota: Si planeas usar la opción de eliminación "Borrar archivos transferidos" o "Borrar archivos transferidos y directorios vacíos", otorga el rol de Administrador de objetos de Storage en lugar del rol de Visualizador de objetos de Storage.

Configura un feed en Google SecOps para transferir registros de auditoría de Workday

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
Haz clic en Configura un feed único.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Workday Audit Logs).
Selecciona Google Cloud Storage V2 como el Tipo de fuente.
Selecciona Auditoría de jornada laboral como el Tipo de registro.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- URL del bucket de almacenamiento: Ingresa el URI del bucket de GCS con la ruta de acceso del prefijo:
```
gs://workday-audit-logs/
```
  - Reemplaza workday-audit-logs por el nombre real de tu bucket de GCS.
  Nota: Siempre incluye la barra diagonal final (/) al final del URI.
- Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia:
  - Nunca: Nunca borra ningún archivo después de las transferencias (se recomienda para las pruebas).
  - Borrar archivos transferidos: Borra los archivos después de la transferencia exitosa.
  - Borrar los archivos transferidos y los directorios vacíos: Borra los archivos y los directorios vacíos después de la transferencia exitosa.
  Nota: Si seleccionas una opción de eliminación, la cuenta de servicio debe tener el rol de Administrador de objetos de Storage en lugar del rol de Visualizador de objetos de Storage. Actualiza los permisos de IAM según corresponda.
- Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
- Espacio de nombres del recurso: Es el espacio de nombres del recurso.
- Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
Cuenta	metadata.event_type	Si el campo "Account" no está vacío, el campo "metadata.event_type" se establece en "USER_RESOURCE_UPDATE_CONTENT".
Cuenta	principal.user.primaryId	El ID de usuario se extrae del campo "Account" con un patrón de grok y se asigna a principal.user.primaryId.
Cuenta	principal.user.primaryName	El nombre visible del usuario se extrae del campo "Cuenta" con un patrón de grok y se asigna a "principal.user.primaryName".
ActivityCategory	metadata.event_type	Si el campo "ActivityCategory" es "READ", el campo "metadata.event_type" se establece en "RESOURCE_READ". Si es "WRITE", se establece en "RESOURCE_WRITTEN".
ActivityCategory	metadata.product_event_type	Se asigna directamente desde el campo "ActivityCategory".
AffectedGroups	target.user.group_identifiers	Se asigna directamente desde el campo "AffectedGroups".
Área	target.resource.attribute.labels.area.value	Se asigna directamente desde el campo "Área".
AuthType	extensions.auth.auth_details	Se asigna directamente desde el campo "AuthType".
AuthType	extensions.auth.type	Se asigna desde el campo "AuthType" a diferentes tipos de autenticación definidos en el UDM según valores específicos.
CFIPdeConexion	src.domain.name	Si el campo "CFIPdeConexion" no es una dirección IP válida, se asigna a "src.domain.name".
CFIPdeConexion	target.ip	Si el campo "CFIPdeConexion" es una dirección IP válida, se asigna a "target.ip".
ChangedRelationship	metadata.description	Se asigna directamente desde el campo "ChangedRelationship".
ClassOfInstance	target.resource.attribute.labels.class_instance.value	Se asigna directamente desde el campo "ClassOfInstance".
column18	about.labels.utub.value	Se asigna directamente desde el campo "column18".
CreatedBy	principal.user.userid	El ID de usuario se extrae del campo "CreatedBy" con un patrón de grok y se asigna a "principal.user.userid".
CreatedBy	principal.user.user_display_name	El nombre visible del usuario se extrae del campo "CreatedBy" con un patrón de Grok y se asigna a "principal.user.user_display_name".
Dominio	about.domain.name	Se asigna directamente desde el campo "Dominio".
EffectiveDate	@timestamp	Se analizó como "@timestamp" después de convertirse al formato "aaaa-MM-dd HH:mm:ss.SSSZ".
EntryMoment	@timestamp	Se analizó como "@timestamp" después de la conversión al formato "ISO8601".
EventType	security_result.description	Se asigna directamente desde el campo "EventType".
Formulario	target.resource.name	Se asigna directamente desde el campo "Form".
InstancesAdded	about.resource.attribute.labels.instances_added.value	Se asigna directamente desde el campo "InstancesAdded".
InstancesAdded	target.user.attribute.roles.instances_added.name	Se asigna directamente desde el campo "InstancesAdded".
InstancesRemoved	about.resource.attribute.labels.instances_removed.value	Se asigna directamente desde el campo "InstancesRemoved".
InstancesRemoved	target.user.attribute.roles.instances_removed.name	Se asigna directamente desde el campo "InstancesRemoved".
IntegrationEvent	target.resource.attribute.labels.integration_event.value	Se asigna directamente desde el campo "IntegrationEvent".
IntegrationStatus	security_result.action_details	Se asigna directamente desde el campo "IntegrationStatus".
IntegrationSystem	target.resource.name	Se asigna directamente desde el campo "IntegrationSystem".
IP	src.domain.name	Si el campo "IP" no es una dirección IP válida, se asigna a "src.domain.name".
IP	src.ip	Si el campo "IP" es una dirección IP válida, se asigna a "src.ip".
IsDeviceManaged	additional.fields.additional1.value.string_value	Si el campo "IsDeviceManaged" es "N", el valor se establece en "Successful". De lo contrario, se establece como "Failed login occurred".
IsDeviceManaged	additional.fields.additional2.value.string_value	Si el campo "IsDeviceManaged" es "N", el valor se establece en "Successful". De lo contrario, se establece como "Invalid Credentials".
IsDeviceManaged	additional.fields.additional3.value.string_value	Si el campo "IsDeviceManaged" es "N", el valor se establece en "Successful". De lo contrario, se establece como "Cuenta bloqueada".
IsDeviceManaged	security_result.action_details	Se asigna directamente desde el campo "IsDeviceManaged".
OutputFiles	about.file.full_path	Se asigna directamente desde el campo "OutputFiles".
Persona	principal.user.primaryId	Si el campo "Persona" comienza con "INT", el ID de usuario se extrae con un patrón de Grok y se asigna a "principal.user.primaryId".
Persona	principal.user.primaryName	Si el campo "Persona" comienza con "INT", el nombre visible del usuario se extrae con un patrón de Grok y se asigna a "principal.user.primaryName".
Persona	principal.user.user_display_name	Si el campo "Persona" no comienza con "INT", se asigna directamente a "principal.user.user_display_name".
Persona	metadata.event_type	Si el campo "Person" no está vacío, el campo "metadata.event_type" se establece en "USER_RESOURCE_UPDATE_CONTENT".
ProcessedTransaction	target.resource.attribute.creation_time	Se analiza como "target.resource.attribute.creation_time" después de convertirse al formato "dd/MM/aaaa HH:mm:ss,SSS (ZZZ)", "dd/MM/aaaa, HH:mm:ss,SSS (ZZZ)" o "MM/dd/aaaa, HH:mm:ss.SSS A ZZZ".
ProgramBy	principal.user.userid	Se asigna directamente desde el campo "ProgramBy".
RecurrenceEndDate	principal.resource.attribute.last_update_time	Se analizó y se convirtió a "principal.resource.attribute.last_update_time" después de convertirlo al formato "aaaa-MM-dd".
RecurrenceStartDate	principal.resource.attribute.creation_time	Se analiza y se convierte a "principal.resource.attribute.creation_time" después de convertirlo al formato "aaaa-MM-dd".
RequestName	metadata.description	Se asigna directamente desde el campo "RequestName".
ResponseMessage	security_result.summary	Se asigna directamente desde el campo "ResponseMessage".
RestrictedToEnvironment	security_result.about.hostname	Se asigna directamente desde el campo "RestrictedToEnvironment".
RevokedSecurity	security_result.outcomes.outcomes.value	Se asigna directamente desde el campo "RevokedSecurity".
RunFrequency	principal.resource.attribute.labels.run_frequency.value	Se asigna directamente desde el campo "RunFrequency".
ScheduledProcess	principal.resource.name	Se asigna directamente desde el campo "ScheduledProcess".
SecuredTaskExecuted	target.resource.name	Se asigna directamente desde el campo "SecuredTaskExecuted".
SecureTaskExecuted	metadata.event_type	Si el campo "SecureTaskExecuted" contiene "Create", el campo "metadata.event_type" se establece en "USER_RESOURCE_CREATION".
SecureTaskExecuted	target.resource.name	Se asigna directamente desde el campo "SecureTaskExecuted".
SentTime	@timestamp	Se analizó como "@timestamp" después de la conversión al formato "ISO8601".
ID sesión	network.session_id	Se asigna directamente desde el campo "SessionId".
ShareBy	target.user.userid	Se asigna directamente desde el campo "ShareBy".
SignOffTime	additional.fields.additional4.value.string_value	El valor del campo "AuthFailMessage" se coloca dentro del array "additional.fields" con la clave "Enterprise Interface Builder".
SignOffTime	metadata.description	Se asigna directamente desde el campo "AuthFailMessage".
SignOffTime	metadata.event_type	Si el campo "SignOffTime" está vacío, el campo "metadata.event_type" se establece en "USER_LOGIN". De lo contrario, se establece como "USER_LOGOUT".
SignOffTime	principal.user.attribute.last_update_time	Se analiza como "principal.user.attribute.last_update_time" después de convertirse al formato "ISO8601".
SignOnIp	src.domain.name	Si el campo "SignOnIp" no es una dirección IP válida, se asigna a "src.domain.name".
SignOnIp	src.ip	Si el campo "SignOnIp" es una dirección IP válida, se asigna a "src.ip".
Estado	metadata.product_event_type	Se asigna directamente desde el campo "Estado".
SystemAccount	principal.user.email_addresses	La dirección de correo electrónico se extrae del campo "SystemAccount" con un patrón de grok y se asigna a "principal.user.email_addresses".
SystemAccount	principal.user.primaryId	El ID de usuario se extrae del campo "SystemAccount" con un patrón de grok y se asigna a "principal.user.primaryId".
SystemAccount	principal.user.primaryName	El nombre visible del usuario se extrae del campo "SystemAccount" con un patrón de grok y se asigna a "principal.user.primaryName".
SystemAccount	src.user.userid	El ID de usuario secundario se extrae del campo "SystemAccount" con un patrón de grok y se asigna a "src.user.userid".
SystemAccount	src.user.user_display_name	El nombre visible del usuario secundario se extrae del campo "SystemAccount" con un patrón de grok y se asigna a "src.user.user_display_name".
SystemAccount	target.user.userid	El ID de usuario objetivo se extrae del campo "SystemAccount" con un patrón de grok y se asigna a "target.user.userid".
Objetivo	target.user.user_display_name	Se asigna directamente desde el campo "Objetivo".
Plantilla	about.resource.name	Se asigna directamente desde el campo "Plantilla".
Usuario	target.asset.hostname	Se asigna directamente desde el campo "Tenant".
TlsVersion	network.tls.version	Se asigna directamente desde el campo "TlsVersion".
Transacción	security_result.action_details	Se asigna directamente desde el campo "Transacción".
TransactionType	security_result.summary	Se asigna directamente desde el campo "TransactionType".
TypeForm	target.resource.resource_subtype	Se asigna directamente desde el campo "TypeForm".
UserAgent	network.http.parsed_user_agent	Se analizó a partir del campo "UserAgent" con el filtro "useragent".
UserAgent	network.http.user_agent	Se asigna directamente desde el campo "UserAgent".
WorkdayAccount	target.user.user_display_name	El nombre visible del usuario se extrae del campo "WorkdayAccount" con un patrón de grok y se asigna a "target.user.user_display_name".
WorkdayAccount	target.user.userid	El ID de usuario se extrae del campo "WorkdayAccount" con un patrón de grok y se asigna a "target.user.userid".
additional.fields.additional1.key	Se establece en "FailedSignOn".
additional.fields.additional2.key	Se establece en "InvalidCredentials".
additional.fields.additional3.key	Se establece en "AccountLocked".
additional.fields.additional4.key	Establécelo en "Enterprise Interface Builder".
metadata.event_type	Inicialmente, se establece en "GENERIC_EVENT" y, luego, se actualiza según la lógica que involucra otros campos.
metadata.event_type	Se establece en "USER_CHANGE_PERMISSIONS" para tipos de eventos específicos.
metadata.event_type	Se establece en "RESOURCE_WRITTEN" para tipos de eventos específicos.
metadata.log_type	Se codifica como "WORKDAY_AUDIT".
metadata.product_name	Está codificado como "Enterprise Interface Builder".
metadata.vendor_name	Está codificado como "Workday".
principal.asset.category	Se establece en "Teléfono" si el campo "DeviceType" es "Teléfono".
principal.resource.resource_type	Se codifica como "TASK" si el campo "ScheduledProcess" no está vacío.
security_result.action	Se establece en "ALLOW" o "FAIL" según los valores de los campos "FailedSignOn", "IsDeviceManaged", "InvalidCredentials" y "AccountLocked".
security_result.summary	Se establece en "Correcto" o en mensajes de error específicos según los valores de los campos "FailedSignOn", "IsDeviceManaged", "InvalidCredentials" y "AccountLocked".
target.resource.resource_type	Se codifica como "TASK" para tipos de eventos específicos.
target.resource.resource_type	Se codifica como "DATASET" si el campo "TypeForm" no está vacío.
mensaje	principal.user.email_addresses	Extrae la dirección de correo electrónico del campo "message" con un patrón de grok y la combina en "principal.user.email_addresses" si coincide con un patrón específico.
mensaje	src.user.userid	Borra el campo si el campo "event.idm.read_only_udm.principal.user.userid" coincide con el "user_target" extraído del campo "message".
mensaje	src.user.user_display_name	Borra el campo si el campo "event.idm.read_only_udm.principal.user.userid" coincide con el "user_target" extraído del campo "message".
mensaje	target.user.userid	Extrae el ID de usuario del campo "message" con un patrón de Grok y lo asigna a "target.user.userid" si coincide con un patrón específico.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.