Collecter les journaux d'audit Workday

Compatible avec :

Ce document explique comment ingérer des journaux d'audit Workday dans Google Security Operations à l'aide de Google Cloud Storage. L'analyseur identifie d'abord le type d'événement spécifique à partir des journaux en fonction de l'analyse des modèles des données JSON. Il extrait ensuite les champs pertinents et les structure en fonction du type identifié, en les mappant à un modèle de données unifié (UDM) pour une analyse de sécurité cohérente.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Une instance Google SecOps
  • Un projet GCP avec l'API Cloud Storage activée
  • Autorisations pour créer et gérer des buckets GCS
  • Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
  • Autorisations permettant de créer des fonctions Cloud Run, des sujets Pub/Sub et des jobs Cloud Scheduler
  • Accès privilégié à Workday

Créer un bucket Google Cloud Storage

  1. Accédez à la console Google Cloud.
  2. Sélectionnez votre projet ou créez-en un.
  3. Dans le menu de navigation, accédez à Cloud Storage> Buckets.
  4. Cliquez sur Créer un bucket.

  5. Fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nommer votre bucket Saisissez un nom unique (par exemple, workday-audit-logs).
    Type d'emplacement Choisissez en fonction de vos besoins (région, birégion ou multirégion).
    Emplacement Sélectionnez l'emplacement (par exemple, us-central1).
    Classe de stockage Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
    Access control (Contrôle des accès) Uniforme (recommandé)
    Outils de protection Facultatif : Activer la gestion des versions des objets ou la règle de conservation

  6. Cliquez sur Créer.

Créer un utilisateur du système d'intégration Workday

  1. Dans Workday, recherchez Create Integration System User> OK.
  2. Renseignez le champ Nom d'utilisateur (par exemple, audit_gcs_user).
  3. Cliquez sur OK.
  4. Pour réinitialiser le mot de passe, accédez à Actions associées> Sécurité> Réinitialiser le mot de passe.
  5. Sélectionnez Conserver les règles relatives aux mots de passe pour empêcher l'expiration du mot de passe.
  6. Recherchez Create Security Group> Integration System Security Group (Unconstrained) (Créer un groupe de sécurité > Groupe de sécurité du système d'intégration (sans restriction)).
  7. Indiquez un nom (par exemple, ISU_Audit_GCS) et ajoutez l'utilisateur ISU à Integration System Users (Utilisateurs du système d'intégration).
  8. Recherchez Domain Security Policies for Functional Area > System (Règles de sécurité du domaine pour la zone fonctionnelle > Système).
  9. Pour Audit Trail (Journal d'audit), sélectionnez Actions > Modifier les autorisations.
  10. Sous Get Only, ajoutez le groupe ISU_Audit_GCS.
  11. Cliquez sur OK> Activer les modifications en attente de la stratégie de sécurité.

Configurer un rapport personnalisé Workday

  1. Dans Workday, recherchez Create Custom Report (Créer un rapport personnalisé).
  2. Fournissez les informations de configuration suivantes :
    • Nom : saisissez un nom unique (par exemple, Audit_Trail_BP_JSON).
    • Type : sélectionnez Avancé.
    • Source de données : sélectionnez Piste d'audit – Processus métier.
  3. Cliquez sur OK.
  4. Facultatif : Ajoutez des filtres sur Type de processus métier ou Date d'entrée en vigueur.
  5. Accédez à l'onglet Sortie.
  6. Sélectionnez Activer en tant que service Web, Optimisé pour les performances, puis Format JSON.
  7. Cliquez sur OK > OK.
  8. Ouvrez le rapport, puis cliquez sur Partager> ajoutez ISU_Audit_GCS avec l'autorisation Afficher > OK.
  9. Accédez à Actions associées > Service Web > Afficher les URL.

  10. Copiez l'URL JSON.

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.

Créer un compte de service

  1. Dans la console GCP, accédez à IAM et administration > Comptes de service.
  2. Cliquez sur Créer un compte de service.
  3. Fournissez les informations de configuration suivantes :
    • Nom du compte de service : saisissez workday-audit-collector-sa.
    • Description du compte de service : saisissez Service account for Cloud Run function to collect Workday audit logs.
  4. Cliquez sur Créer et continuer.
  5. Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
    1. Cliquez sur Sélectionner un rôle.
    2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
    3. Cliquez sur + Ajouter un autre rôle.
    4. Recherchez et sélectionnez Demandeur Cloud Run.
    5. Cliquez sur + Ajouter un autre rôle.
    6. Recherchez et sélectionnez Demandeur Cloud Functions.
  6. Cliquez sur Continuer.
  7. Cliquez sur OK.

Ces rôles sont requis pour :

  • Administrateur des objets Storage : écrire des journaux dans un bucket GCS
  • Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
  • Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

  1. Accédez à Cloud Storage > Buckets.
  2. Cliquez sur le nom de votre bucket.
  3. Accédez à l'onglet Autorisations.
  4. Cliquez sur Accorder l'accès.
  5. Fournissez les informations de configuration suivantes :
    • Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, workday-audit-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Attribuer des rôles : sélectionnez Administrateur des objets Storage.
  6. Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

  1. Dans la console GCP, accédez à Pub/Sub > Sujets.
  2. Cliquez sur Create topic (Créer un sujet).
  3. Fournissez les informations de configuration suivantes :
    • ID du sujet : saisissez workday-audit-trigger.
    • Conservez les valeurs par défaut des autres paramètres.
  4. Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run est déclenchée par les messages Pub/Sub de Cloud Scheduler pour extraire les journaux de l'API Workday et les écrire dans GCS.

  1. Dans la console GCP, accédez à Cloud Run.
  2. Cliquez sur Créer un service.
  3. Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

  4. Dans la section Configurer, fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nom du service workday-audit-collector
    Région Sélectionnez la région correspondant à votre bucket GCS (par exemple, us-central1).
    Runtime (durée d'exécution) Sélectionnez Python 3.12 ou version ultérieure.

  5. Dans la section Déclencheur (facultatif) :

    1. Cliquez sur + Ajouter un déclencheur.
    2. Sélectionnez Cloud Pub/Sub.
    3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet workday-audit-trigger.
    4. Cliquez sur Enregistrer.

  6. Dans la section Authentification :

    1. Sélectionnez Exiger l'authentification.
    2. Consultez Identity and Access Management (IAM).

  7. Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.

  8. Accédez à l'onglet Sécurité :

    • Compte de service : sélectionnez le compte de service workday-audit-collector-sa.

  9. Accédez à l'onglet Conteneurs :

    1. Cliquez sur Variables et secrets.
    2. Cliquez sur + Ajouter une variable pour chaque variable d'environnement :
    Nom de la variable Exemple de valeur
    GCS_BUCKET workday-audit-logs
    WD_USER audit_gcs_user
    WD_PASS your-workday-password
    WD_URL https://wd-servicesN.workday.com/ccx/service/customreport2/<tenant>/<user>/Audit_Trail_BP_JSON?format=json

  10. Dans l'onglet Variables et secrets, faites défiler la page jusqu'à Requêtes :

    • Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).

  11. Accédez à l'onglet Paramètres dans Conteneurs :

    • Dans la section Ressources :
      • Mémoire : sélectionnez 512 Mio ou plus.
      • CPU : sélectionnez 1.
    • Cliquez sur OK.

  12. Faites défiler la page jusqu'à Environnement d'exécution :

    • Sélectionnez Par défaut (recommandé).

  13. Dans la section Scaling de révision :

    • Nombre minimal d'instances : saisissez 0.
    • Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).

  14. Cliquez sur Créer.

  15. Attendez que le service soit créé (1 à 2 minutes).

  16. Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

  1. Saisissez main dans Point d'entrée de la fonction.

  2. Dans l'éditeur de code intégré, créez deux fichiers :

    • Premier fichier : main.py:
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import base64
import gzip
import io
import uuid

# Initialize HTTP client
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch logs from Workday API and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    wd_user = os.environ.get('WD_USER')
    wd_pass = os.environ.get('WD_PASS')
    wd_url = os.environ.get('WD_URL')

    if not all([bucket_name, wd_user, wd_pass, wd_url]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        print(f'Fetching Workday audit report from {wd_url}')

        # Fetch report from Workday
        data = fetch_report(wd_url, wd_user, wd_pass)

        # Upload to GCS
        timestamp = datetime.now(timezone.utc)
        upload(bucket, data, timestamp)

        print(f'Successfully uploaded Workday audit report ({len(data)} bytes raw)')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def fetch_report(url, username, password):
    """Fetch report from Workday using Basic Auth."""
    credentials = f"{username}:{password}"
    credentials_bytes = credentials.encode('utf-8')
    auth_header = b"Basic " + base64.b64encode(credentials_bytes)

    req_headers = {
        "Authorization": auth_header.decode('utf-8')
    }

    response = http.request('GET', url, headers=req_headers)

    if response.status != 200:
        raise Exception(f"Failed to fetch report: HTTP {response.status}")

    return response.data

def upload(bucket, payload, ts):
    """Upload gzipped JSON to GCS."""
    key = f"{ts:%Y/%m/%d}/workday-audit-{uuid.uuid4()}.json.gz"

    buf = io.BytesIO()
    with gzip.GzipFile(fileobj=buf, mode='w') as gz:
        gz.write(payload)
    buf.seek(0)

    blob = bucket.blob(key)
    blob.upload_from_file(buf, content_type='application/gzip')

    print(f'Uploaded to gs://{bucket.name}/{key}')
    • Deuxième fichier : requirements.txt:
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Cliquez sur Déployer pour enregistrer et déployer la fonction.

  4. Attendez la fin du déploiement (deux à trois minutes).

Créer une tâche Cloud Scheduler

Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.

  1. Dans la console GCP, accédez à Cloud Scheduler.
  2. Cliquez sur Créer une tâche.

  3. Fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nom workday-audit-collector-daily
    Région Sélectionnez la même région que la fonction Cloud Run.
    Fréquence 20 2 * * * (exécuté tous les jours à 02h20 UTC)
    Fuseau horaire Sélectionnez un fuseau horaire (UTC recommandé).
    Type de cible Pub/Sub
    Topic Sélectionnez le thème workday-audit-trigger.
    Corps du message {} (objet JSON vide)

  4. Cliquez sur Créer.

Options de fréquence de planification

  • Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

    Fréquence Expression Cron Cas d'utilisation
    Toutes les 5 minutes */5 * * * * Volume élevé, faible latence
    Toutes les 15 minutes */15 * * * * Volume moyen
    Toutes les heures 0 * * * * Standard
    Toutes les 6 heures 0 */6 * * * Traitement par lot à faible volume
    Tous les jours 20 2 * * * Collecte des données historiques (recommandée)

Tester le job Scheduler

  1. Dans la console Cloud Scheduler, recherchez votre job.
  2. Cliquez sur Forcer l'exécution pour déclencher manuellement l'exécution.
  3. Patientez quelques secondes, puis accédez à Cloud Run > Services > workday-audit-collector > Journaux.
  4. Vérifiez que la fonction s'est exécutée correctement.
  5. Vérifiez le bucket GCS pour confirmer que les journaux ont été écrits.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Obtenir l'adresse e-mail du compte de service

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Cliquez sur Configurer un flux unique.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Workday Audit Logs).
  5. Sélectionnez Google Cloud Storage V2 comme Type de source.
  6. Sélectionnez Audit Workday comme Type de journal.

  7. Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

  1. Accédez à Cloud Storage > Buckets.
  2. Cliquez sur le nom de votre bucket.
  3. Accédez à l'onglet Autorisations.
  4. Cliquez sur Accorder l'accès.
  5. Fournissez les informations de configuration suivantes :
    • Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
    • Attribuez des rôles : sélectionnez Lecteur des objets de l'espace de stockage.

  6. Cliquez sur Enregistrer.

Configurer un flux dans Google SecOps pour ingérer les journaux d'audit Workday

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Cliquez sur Configurer un flux unique.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Workday Audit Logs).
  5. Sélectionnez Google Cloud Storage V2 comme Type de source.
  6. Sélectionnez Audit Workday comme Type de journal.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URL du bucket Storage : saisissez l'URI du bucket GCS avec le préfixe du chemin d'accès :

      gs://workday-audit-logs/
      • Remplacez workday-audit-logs par le nom réel de votre bucket GCS.

    • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :

      • Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
      • Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.
      • Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.

    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.

    • Espace de noms de l'élément : espace de noms de l'élément.

    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ de journal Mappage UDM Logique
Compte metadata.event_type Si le champ "Compte" n'est pas vide, le champ "metadata.event_type" est défini sur "USER_RESOURCE_UPDATE_CONTENT".
Compte principal.user.primaryId L'ID utilisateur est extrait du champ "Compte" à l'aide d'un modèle Grok et mappé à principal.user.primaryId.
Compte principal.user.primaryName Le nom à afficher de l'utilisateur est extrait du champ "Compte" à l'aide d'un modèle grok et mappé sur "principal.user.primaryName".
ActivityCategory metadata.event_type Si le champ "ActivityCategory" est défini sur "READ", le champ "metadata.event_type" est défini sur "RESOURCE_READ". Si la valeur est "WRITE", elle est définie sur "RESOURCE_WRITTEN".
ActivityCategory metadata.product_event_type Mappé directement à partir du champ "ActivityCategory".
AffectedGroups target.user.group_identifiers Directement mappé à partir du champ "AffectedGroups".
Quartier target.resource.attribute.labels.area.value Mappé directement à partir du champ "Zone".
AuthType extensions.auth.auth_details Mappé directement à partir du champ "AuthType".
AuthType extensions.auth.type Mappé à partir du champ "AuthType" vers différents types d'authentification définis dans l'UDM en fonction de valeurs spécifiques.
CFIPdeConexion src.domain.name Si le champ "CFIPdeConexion" n'est pas une adresse IP valide, il est mappé sur "src.domain.name".
CFIPdeConexion target.ip Si le champ "CFIPdeConexion" est une adresse IP valide, il est mappé à "target.ip".
ChangedRelationship metadata.description Mappé directement à partir du champ "ChangedRelationship".
ClassOfInstance target.resource.attribute.labels.class_instance.value Mappé directement à partir du champ "ClassOfInstance".
column18 about.labels.utub.value Mappé directement à partir du champ "column18".
CreatedBy principal.user.userid L'ID utilisateur est extrait du champ "CreatedBy" (Créé par) à l'aide d'un modèle Grok et mappé sur "principal.user.userid".
CreatedBy principal.user.user_display_name Le nom à afficher de l'utilisateur est extrait du champ "CreatedBy" à l'aide d'un modèle Grok et mappé sur "principal.user.user_display_name".
Domaine about.domain.name Mappé directement à partir du champ "Domaine".
EffectiveDate @timestamp Analysé dans "@timestamp" après conversion au format "aaaa-MM-jj HH:mm:ss.SSSZ".
EntryMoment @timestamp Analysé dans "@timestamp" après conversion au format "ISO8601".
EventType security_result.description Mappé directement à partir du champ "EventType".
Formulaire target.resource.name Mappé directement à partir du champ "Formulaire".
InstancesAdded about.resource.attribute.labels.instances_added.value Mappé directement à partir du champ "InstancesAdded".
InstancesAdded target.user.attribute.roles.instances_added.name Mappé directement à partir du champ "InstancesAdded".
InstancesRemoved about.resource.attribute.labels.instances_removed.value Mappé directement à partir du champ "InstancesRemoved".
InstancesRemoved target.user.attribute.roles.instances_removed.name Mappé directement à partir du champ "InstancesRemoved".
IntegrationEvent target.resource.attribute.labels.integration_event.value Mappé directement à partir du champ "IntegrationEvent".
IntegrationStatus security_result.action_details Mappé directement à partir du champ "IntegrationStatus".
IntegrationSystem target.resource.name Mappé directement à partir du champ "IntegrationSystem".
IP src.domain.name Si le champ "IP" n'est pas une adresse IP valide, il est mappé sur "src.domain.name".
IP src.ip Si le champ "IP" est une adresse IP valide, il est mappé sur "src.ip".
IsDeviceManaged additional.fields.additional1.value.string_value Si le champ "IsDeviceManaged" est défini sur "N", la valeur est définie sur "Successful" (Réussie). Sinon, il est défini sur "Échec de la connexion".
IsDeviceManaged additional.fields.additional2.value.string_value Si le champ "IsDeviceManaged" est défini sur "N", la valeur est définie sur "Successful" (Réussie). Sinon, la valeur est définie sur "Identifiants non valides".
IsDeviceManaged additional.fields.additional3.value.string_value Si le champ "IsDeviceManaged" est défini sur "N", la valeur est définie sur "Successful" (Réussie). Sinon, il est défini sur "Compte verrouillé".
IsDeviceManaged security_result.action_details Mappé directement à partir du champ "IsDeviceManaged".
OutputFiles about.file.full_path Mappé directement à partir du champ "OutputFiles".
Personne principal.user.primaryId Si le champ "Personne" commence par "INT", l'ID utilisateur est extrait à l'aide d'un modèle Grok et mappé sur "principal.user.primaryId".
Personne principal.user.primaryName Si le champ "Personne" commence par "INT", le nom à afficher de l'utilisateur est extrait à l'aide d'un modèle Grok et mappé sur "principal.user.primaryName".
Personne principal.user.user_display_name Si le champ "Personne" ne commence pas par "INT", il est directement mappé sur "principal.user.user_display_name".
Personne metadata.event_type Si le champ "Personne" n'est pas vide, le champ "metadata.event_type" est défini sur "USER_RESOURCE_UPDATE_CONTENT".
ProcessedTransaction target.resource.attribute.creation_time Analysé en "target.resource.attribute.creation_time" après conversion au format "jj/MM/aaaa HH:mm:ss,SSS (ZZZ)", "jj/MM/aaaa, HH:mm:ss,SSS (ZZZ)" ou "MM/jj/aaaa, HH:mm:ss.SSS A ZZZ".
ProgramBy principal.user.userid Mappé directement à partir du champ "ProgramBy".
RecurrenceEndDate principal.resource.attribute.last_update_time Analysé en "principal.resource.attribute.last_update_time" après conversion au format "yyyy-MM-dd".
RecurrenceStartDate principal.resource.attribute.creation_time Analysé en "principal.resource.attribute.creation_time" après conversion au format "yyyy-MM-dd".
RequestName metadata.description Mappé directement à partir du champ "RequestName".
ResponseMessage security_result.summary Mappé directement à partir du champ "ResponseMessage".
RestrictedToEnvironment security_result.about.hostname Mappé directement à partir du champ "RestrictedToEnvironment".
RevokedSecurity security_result.outcomes.outcomes.value Mappé directement à partir du champ "RevokedSecurity".
RunFrequency principal.resource.attribute.labels.run_frequency.value Mappé directement à partir du champ "RunFrequency".
ScheduledProcess principal.resource.name Mappé directement à partir du champ "ScheduledProcess".
SecuredTaskExecuted target.resource.name Directement mappé à partir du champ "SecuredTaskExecuted".
SecureTaskExecuted metadata.event_type Si le champ "SecureTaskExecuted" contient "Create", le champ "metadata.event_type" est défini sur "USER_RESOURCE_CREATION".
SecureTaskExecuted target.resource.name Mappé directement à partir du champ "SecureTaskExecuted".
SentTime @timestamp Analysé dans "@timestamp" après conversion au format "ISO8601".
SessionId network.session_id Mappé directement à partir du champ "SessionId".
ShareBy target.user.userid Mappé directement à partir du champ "ShareBy".
SignOffTime additional.fields.additional4.value.string_value La valeur du champ "AuthFailMessage" est placée dans le tableau "additional.fields" avec la clé "Enterprise Interface Builder".
SignOffTime metadata.description Mappé directement à partir du champ "AuthFailMessage".
SignOffTime metadata.event_type Si le champ "SignOffTime" est vide, le champ "metadata.event_type" est défini sur "USER_LOGIN". Sinon, la valeur est définie sur "USER_LOGOUT".
SignOffTime principal.user.attribute.last_update_time Analysé dans "principal.user.attribute.last_update_time" après conversion au format "ISO8601".
SignOnIp src.domain.name Si le champ "SignOnIp" n'est pas une adresse IP valide, il est mappé sur "src.domain.name".
SignOnIp src.ip Si le champ "SignOnIp" est une adresse IP valide, il est mappé sur "src.ip".
État metadata.product_event_type Directement mappé à partir du champ "État".
SystemAccount principal.user.email_addresses L'adresse e-mail est extraite du champ "SystemAccount" à l'aide d'un modèle grok et mappée sur "principal.user.email_addresses".
SystemAccount principal.user.primaryId L'ID utilisateur est extrait du champ "SystemAccount" à l'aide d'un modèle Grok et mappé sur "principal.user.primaryId".
SystemAccount principal.user.primaryName Le nom à afficher de l'utilisateur est extrait du champ "SystemAccount" à l'aide d'un modèle Grok et mappé sur "principal.user.primaryName".
SystemAccount src.user.userid L'ID utilisateur secondaire est extrait du champ "SystemAccount" à l'aide d'un modèle Grok et mappé à "src.user.userid".
SystemAccount src.user.user_display_name Le nom à afficher de l'utilisateur secondaire est extrait du champ "SystemAccount" à l'aide d'un modèle Grok et mappé sur "src.user.user_display_name".
SystemAccount target.user.userid L'ID utilisateur cible est extrait du champ "SystemAccount" à l'aide d'un modèle Grok et mappé sur "target.user.userid".
Cible target.user.user_display_name Mappé directement à partir du champ "Cible".
Modèle about.resource.name Mappé directement à partir du champ "Modèle".
Locataire target.asset.hostname Mappé directement à partir du champ "Locataire".
TlsVersion network.tls.version Mappé directement à partir du champ "TlsVersion".
Transaction security_result.action_details Directement mappé à partir du champ "Transaction".
TransactionType security_result.summary Mappé directement à partir du champ "TransactionType".
TypeForm target.resource.resource_subtype Mappé directement à partir du champ "TypeForm".
UserAgent network.http.parsed_user_agent Analysé à partir du champ "UserAgent" à l'aide du filtre "useragent".
UserAgent network.http.user_agent Mappé directement à partir du champ "UserAgent".
WorkdayAccount target.user.user_display_name Le nom à afficher de l'utilisateur est extrait du champ "WorkdayAccount" à l'aide d'un modèle Grok et mappé sur "target.user.user_display_name".
WorkdayAccount target.user.userid L'ID utilisateur est extrait du champ "WorkdayAccount" à l'aide d'un modèle grok et mappé sur "target.user.userid".
additional.fields.additional1.key Défini sur "FailedSignOn".
additional.fields.additional2.key Défini sur "InvalidCredentials".
additional.fields.additional3.key Défini sur "AccountLocked".
additional.fields.additional4.key Définissez la valeur sur "Enterprise Interface Builder".
metadata.event_type Défini sur "GENERIC_EVENT" au départ, puis mis à jour en fonction de la logique impliquant d'autres champs.
metadata.event_type Définissez la valeur sur "USER_CHANGE_PERMISSIONS" pour des types d'événements spécifiques.
metadata.event_type Définissez la valeur sur "RESOURCE_WRITTEN" pour des types d'événements spécifiques.
metadata.log_type Codé en dur sur "WORKDAY_AUDIT".
metadata.product_name Codé en dur sur "Enterprise Interface Builder".
metadata.vendor_name Codé en dur sur "Workday".
principal.asset.category Définissez la valeur sur "Téléphone" si le champ "DeviceType" est défini sur "Téléphone".
principal.resource.resource_type Codé en dur sur "TASK" si le champ "ScheduledProcess" n'est pas vide.
security_result.action Définissez la valeur sur "ALLOW" ou "FAIL" en fonction des valeurs des champs "FailedSignOn", "IsDeviceManaged", "InvalidCredentials" et "AccountLocked".
security_result.summary Définissez la valeur sur "Traitement effectué" ou sur des messages d'erreur spécifiques en fonction des valeurs des champs "FailedSignOn", "IsDeviceManaged", "InvalidCredentials" et "AccountLocked".
target.resource.resource_type Codé en dur sur "TASK" pour certains types d'événements.
target.resource.resource_type Codé en dur sur "DATASET" si le champ "TypeForm" n'est pas vide.
message principal.user.email_addresses Extrait l'adresse e-mail du champ "message" à l'aide d'un modèle Grok et la fusionne dans "principal.user.email_addresses" si un modèle spécifique est trouvé.
message src.user.userid Efface le champ si le champ "event.idm.read_only_udm.principal.user.userid" correspond à "user_target" extrait du champ "message".
message src.user.user_display_name Efface le champ si le champ "event.idm.read_only_udm.principal.user.userid" correspond à "user_target" extrait du champ "message".
message target.user.userid Extrait l'ID utilisateur du champ "message" à l'aide d'un modèle Grok et le mappe à "target.user.userid" si un modèle spécifique est trouvé.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.