Raccogliere gli audit log di Workday

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di controllo di Workday in Google Security Operations utilizzando Google Cloud Storage. Il parser identifica innanzitutto il tipo di evento specifico dai log in base all'analisi dei pattern dei dati JSON. Poi estrae e struttura i campi pertinenti in base al tipo identificato, mappandoli a un modello unificato dei dati (UDM) per un'analisi della sicurezza coerente.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

Un'istanza Google SecOps
Un progetto GCP con l'API Cloud Storage abilitata
Autorizzazioni per creare e gestire bucket GCS
Autorizzazioni per gestire le policy IAM nei bucket GCS
Autorizzazioni per creare funzioni Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
Accesso privilegiato a Workday

Creazione di un bucket Google Cloud Storage

Vai alla console Google Cloud.
Seleziona il tuo progetto o creane uno nuovo.
Nel menu di navigazione, vai a Cloud Storage > Bucket.
Fai clic su Crea bucket.

Fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Assegna un nome al bucket	Inserisci un nome univoco globale (ad esempio `workday-audit-logs`).
Tipo di località	Scegli in base alle tue esigenze (regione singola, doppia regione, più regioni)
Località	Seleziona la posizione (ad esempio, `us-central1`).
Classe di archiviazione	Standard (consigliato per i log a cui si accede di frequente)
Controllo dell'accesso	Uniforme (consigliato)
Strumenti di protezione	(Facoltativo) Attiva il controllo delle versioni degli oggetti o la policy di conservazione

Fai clic su Crea.

Crea l'utente del sistema di integrazione Workday (ISU)

In Workday, cerca Create Integration System User > OK.
Compila il campo Nome utente (ad esempio, audit_gcs_user).
Fai clic su OK.
Reimposta la password andando su Azioni correlate > Sicurezza > Reimposta password.
Seleziona Mantieni regole password per impedire la scadenza della password.
Cerca Create Security Group (Crea gruppo di sicurezza) > Integration System Security Group (Gruppo di sicurezza del sistema di integrazione) (senza vincoli).
Fornisci un nome (ad esempio ISU_Audit_GCS) e aggiungi l'utente di sistema integrato a Utenti di sistema integrato.
Cerca Domain Security Policies for Functional Area > System (Norme di sicurezza del dominio per l'area funzionale > Sistema).
Per Audit Trail, seleziona Azioni > Modifica autorizzazioni.
Nella sezione Ottieni solo, aggiungi il gruppo ISU_Audit_GCS.
Fai clic su Ok > Activate Pending Security Policy Changes (Attiva modifiche in attesa del criterio di sicurezza).

Configurare il report personalizzato di Workday

In Workday, cerca Crea report personalizzato.
Fornisci i seguenti dettagli di configurazione:
- Nome: inserisci un nome univoco (ad esempio, Audit_Trail_BP_JSON).
- Tipo: seleziona Avanzate.
- Origine dati: seleziona Audit Trail - Business Process.
Fai clic su OK.
(Facoltativo) Aggiungi filtri in base a Tipo di processo aziendale o Data di validità.
Vai alla scheda Output.
Seleziona Attiva come servizio web, Ottimizzato per le prestazioni e Formato JSON.
Fai clic su Ok > Fine.
Apri il report e fai clic su Condividi > aggiungi ISU_Audit_GCS con l'autorizzazione Visualizza > Ok.
Vai ad Azioni correlate > Servizio web > Visualizza URL.
Copia l'URL JSON.

Nota :il formato dell'URL sarà specifico per il tenant e la regione di Workday. Il nome host varia in base al tuo ambiente (ad esempio, wd2-impl-services1.workday.com, wd3-services1.workday.com). Utilizza l'URL esatto fornito da Workday. Formato di esempio: https://wd-servicesN.workday.com/ccx/service/customreport2/<tenant>/<user>/Audit_Trail_BP_JSON?format=json

Crea un service account per la funzione Cloud Run

La funzione Cloud Run richiede un service account con autorizzazioni di scrittura nel bucket GCS e di invocazione da parte di Pub/Sub.

Crea service account

Nella console Google Cloud, vai a IAM e amministrazione > Service Accounts.
Fai clic su Crea service account.
Fornisci i seguenti dettagli di configurazione:
- Nome del service account: inserisci workday-audit-collector-sa.
- Descrizione service account: inserisci Service account for Cloud Run function to collect Workday audit logs.
Fai clic su Crea e continua.
Nella sezione Concedi a questo service account l'accesso al progetto, aggiungi i seguenti ruoli:
1. Fai clic su Seleziona un ruolo.
2. Cerca e seleziona Amministratore oggetti di archiviazione.
3. Fai clic su + Aggiungi un altro ruolo.
4. Cerca e seleziona Cloud Run Invoker.
5. Fai clic su + Aggiungi un altro ruolo.
6. Cerca e seleziona Invoker di Cloud Functions.
Fai clic su Continua.
Fai clic su Fine.

Questi ruoli sono necessari per:

Storage Object Admin: scrivi i log nel bucket GCS
Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al service account le autorizzazioni di scrittura sul bucket GCS:

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket.
Vai alla scheda Autorizzazioni.
Fai clic su Concedi l'accesso.
Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: inserisci l'email del service account (ad es. workday-audit-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Assegna i ruoli: seleziona Storage Object Admin.
Fai clic su Salva.

Crea argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

Nella console GCP, vai a Pub/Sub > Argomenti.
Fai clic su Crea argomento.
Fornisci i seguenti dettagli di configurazione:
- ID argomento: inserisci workday-audit-trigger.
- Lascia le altre impostazioni sui valori predefiniti.
Fai clic su Crea.

Crea una funzione Cloud Run per raccogliere i log

La funzione Cloud Run viene attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare i log dall'API Workday e li scrive in GCS.

Nella console GCP, vai a Cloud Run.
Fai clic su Crea servizio.
Seleziona Funzione (usa un editor in linea per creare una funzione).

Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Nome servizio	`workday-audit-collector`
Regione	Seleziona la regione corrispondente al tuo bucket GCS (ad esempio `us-central1`)
Runtime	Seleziona Python 3.12 o versioni successive

Nella sezione Trigger (facoltativo):
1. Fai clic su + Aggiungi trigger.
2. Seleziona Cloud Pub/Sub.
3. In Seleziona un argomento Cloud Pub/Sub, scegli l'argomento workday-audit-trigger.
4. Fai clic su Salva.
Nella sezione Autenticazione:
1. Seleziona Richiedi autenticazione.
2. Controlla Identity and Access Management (IAM).
Nota: Pub/Sub gestisce automaticamente l'autenticazione quando richiama la funzione.
Scorri verso il basso ed espandi Container, networking, sicurezza.
Vai alla scheda Sicurezza:
- Service account: seleziona il service account workday-audit-collector-sa.

Vai alla scheda Container:

Fai clic su Variabili e secret.
Fai clic su + Aggiungi variabile per ogni variabile di ambiente:

Nome variabile	Valore di esempio
`GCS_BUCKET`	`workday-audit-logs`
`WD_USER`	`audit_gcs_user`
`WD_PASS`	`your-workday-password`
`WD_URL`	`https://wd-servicesN.workday.com/ccx/service/customreport2/<tenant>/<user>/Audit_Trail_BP_JSON?format=json`

Scorri verso il basso nella scheda Variabili e secret fino a Richieste:
- Timeout richiesta: inserisci 600 secondi (10 minuti).
Vai alla scheda Impostazioni in Container:
- Nella sezione Risorse:
  - Memoria: seleziona 512 MiB o un valore superiore.
  - CPU: seleziona 1.
- Fai clic su Fine.
Scorri fino a Ambiente di esecuzione:
- Seleziona Predefinito (opzione consigliata).
Nella sezione Scalabilità della revisione:
- Numero minimo di istanze: inserisci 0.
- Numero massimo di istanze: inserisci 100 (o modifica in base al carico previsto).
Fai clic su Crea.
Attendi la creazione del servizio (1-2 minuti).
Dopo aver creato il servizio, si apre automaticamente l'editor di codice incorporato.

Aggiungi codice per la funzione

Inserisci main in Entry point della funzione

Nell'editor di codice incorporato, crea due file:

Primo file: main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import base64
import gzip
import io
import uuid

# Initialize HTTP client
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch logs from Workday API and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    wd_user = os.environ.get('WD_USER')
    wd_pass = os.environ.get('WD_PASS')
    wd_url = os.environ.get('WD_URL')

    if not all([bucket_name, wd_user, wd_pass, wd_url]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        print(f'Fetching Workday audit report from {wd_url}')

        # Fetch report from Workday
        data = fetch_report(wd_url, wd_user, wd_pass)

        # Upload to GCS
        timestamp = datetime.now(timezone.utc)
        upload(bucket, data, timestamp)

        print(f'Successfully uploaded Workday audit report ({len(data)} bytes raw)')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def fetch_report(url, username, password):
    """Fetch report from Workday using Basic Auth."""
    credentials = f"{username}:{password}"
    credentials_bytes = credentials.encode('utf-8')
    auth_header = b"Basic " + base64.b64encode(credentials_bytes)

    req_headers = {
        "Authorization": auth_header.decode('utf-8')
    }

    response = http.request('GET', url, headers=req_headers)

    if response.status != 200:
        raise Exception(f"Failed to fetch report: HTTP {response.status}")

    return response.data

def upload(bucket, payload, ts):
    """Upload gzipped JSON to GCS."""
    key = f"{ts:%Y/%m/%d}/workday-audit-{uuid.uuid4()}.json.gz"

    buf = io.BytesIO()
    with gzip.GzipFile(fileobj=buf, mode='w') as gz:
        gz.write(payload)
    buf.seek(0)

    blob = bucket.blob(key)
    blob.upload_from_file(buf, content_type='application/gzip')

    print(f'Uploaded to gs://{bucket.name}/{key}')

Secondo file: requirements.txt::

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.
Attendi il completamento del deployment (2-3 minuti).

Nota :la configurazione del trigger Pub/Sub crea automaticamente le sottoscrizioni e le autorizzazioni necessarie.

Crea job Cloud Scheduler

Cloud Scheduler pubblica messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.

Nella console di GCP, vai a Cloud Scheduler.
Fai clic su Crea job.

Fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Nome	`workday-audit-collector-daily`
Regione	Seleziona la stessa regione della funzione Cloud Run
Frequenza	`20 2 * * *` (eseguito ogni giorno alle ore 02:20 UTC)
Fuso orario	Seleziona il fuso orario (UTC consigliato)
Tipo di target	Pub/Sub
Argomento	Seleziona l'argomento `workday-audit-trigger`
Corpo del messaggio	`{}` (oggetto JSON vuoto)

Fai clic su Crea.

Opzioni di frequenza di pianificazione

Scegli la frequenza in base al volume dei log e ai requisiti di latenza:

Frequenza	Espressione cron	Caso d'uso
Ogni 5 minuti	`/5 * * *`	Volume elevato, bassa latenza
Ogni 15 minuti	`/15 * * *`	Volume medio
Ogni ora	`0 * * * *`	Standard
Ogni 6 ore	`0 /6 * *`	Volume basso, elaborazione batch
Ogni giorno	`20 2 * * *`	Raccolta dei dati storici (consigliata)

Testa il job di pianificazione

Nella console Cloud Scheduler, trova il job.
Fai clic su Forza esecuzione per attivare manualmente.
Attendi qualche secondo e vai a Cloud Run > Servizi > workday-audit-collector > Log.
Verifica che la funzione sia stata eseguita correttamente.
Controlla il bucket GCS per verificare che i log siano stati scritti.

Recuperare il service account Google SecOps

Google SecOps utilizza un service account univoco per leggere i dati dal tuo bucket GCS. Devi concedere a questo service account l'accesso al tuo bucket.

Recuperare l'email del service account

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Workday Audit Logs).
Seleziona Google Cloud Storage V2 come Tipo di origine.
Seleziona Audit di Workday come Tipo di log.
Fai clic su Ottieni service account. Viene visualizzata un'email del service account univoca, ad esempio:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copia questo indirizzo email per utilizzarlo nel passaggio successivo.

Nota: ogni istanza di Google SecOps ha un service account univoco. Non utilizzare service account di altre documentazioni o esempi.

Concedi le autorizzazioni IAM al service account Google SecOps

Il service account Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket.
Vai alla scheda Autorizzazioni.
Fai clic su Concedi l'accesso.
Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: incolla l'email del service account Google SecOps.
- Assegna i ruoli: seleziona Visualizzatore oggetti Storage.
Fai clic su Salva.

Nota: se prevedi di utilizzare l'opzione di eliminazione "Elimina i file trasferiti" o "Elimina i file trasferiti e le directory vuote", assegna il ruolo Storage Object Admin anziché Storage Object Viewer.

Configura un feed in Google SecOps per importare gli audit log di Workday

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Workday Audit Logs).
Seleziona Google Cloud Storage V2 come Tipo di origine.
Seleziona Audit di Workday come Tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- URL del bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:
```
gs://workday-audit-logs/
```
  - Sostituisci workday-audit-logs con il nome effettivo del bucket GCS.
  Nota: includi sempre la barra finale (/) alla fine dell'URI.
- Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:
  - Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
  - Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.
  - Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.
  Nota: se selezioni un'opzione di eliminazione, il service account deve disporre del ruolo Storage Object Admin anziché di Storage Object Viewer. Aggiorna le autorizzazioni IAM di conseguenza.
- Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Funzione logica
Account	metadata.event_type	Se il campo "Account" non è vuoto, il campo "metadata.event_type" è impostato su "USER_RESOURCE_UPDATE_CONTENT".
Account	principal.user.primaryId	L'ID utente viene estratto dal campo "Account" utilizzando un pattern grok e mappato a principal.user.primaryId.
Account	principal.user.primaryName	Il nome visualizzato dell'utente viene estratto dal campo "Account" utilizzando un pattern grok e mappato a "principal.user.primaryName".
ActivityCategory	metadata.event_type	Se il campo "ActivityCategory" è "READ", il campo "metadata.event_type" è impostato su "RESOURCE_READ". Se "WRITE", è impostato su "RESOURCE_WRITTEN".
ActivityCategory	metadata.product_event_type	Mappato direttamente dal campo "ActivityCategory".
AffectedGroups	target.user.group_identifiers	Mappato direttamente dal campo "AffectedGroups".
Area	target.resource.attribute.labels.area.value	Mappato direttamente dal campo "Area".
AuthType	extensions.auth.auth_details	Mappato direttamente dal campo "AuthType".
AuthType	extensions.auth.type	Mappato dal campo "AuthType" a diversi tipi di autenticazione definiti in UDM in base a valori specifici.
CFIPdeConexion	src.domain.name	Se il campo "CFIPdeConexion" non è un indirizzo IP valido, viene mappato a "src.domain.name".
CFIPdeConexion	target.ip	Se il campo "CFIPdeConexion" è un indirizzo IP valido, viene mappato a "target.ip".
ChangedRelationship	metadata.description	Mappato direttamente dal campo "ChangedRelationship".
ClassOfInstance	target.resource.attribute.labels.class_instance.value	Mappato direttamente dal campo "ClassOfInstance".
column18	about.labels.utub.value	Mappato direttamente dal campo "column18".
CreatedBy	principal.user.userid	L'ID utente viene estratto dal campo "CreatedBy" utilizzando un pattern grok e mappato a "principal.user.userid".
CreatedBy	principal.user.user_display_name	Il nome visualizzato dell'utente viene estratto dal campo "CreatedBy" utilizzando un pattern grok e mappato a "principal.user.user_display_name".
Dominio	about.domain.name	Mappato direttamente dal campo "Dominio".
EffectiveDate	@timestamp	Analizzato in "@timestamp" dopo la conversione nel formato "aaaa-MM-gg HH:mm:ss.SSSZ".
EntryMoment	@timestamp	Analizzato in "@timestamp" dopo la conversione nel formato "ISO8601".
EventType	security_result.description	Mappato direttamente dal campo "EventType".
Modulo	target.resource.name	Mappato direttamente dal campo "Modulo".
InstancesAdded	about.resource.attribute.labels.instances_added.value	Mappato direttamente dal campo "InstancesAdded".
InstancesAdded	target.user.attribute.roles.instances_added.name	Mappato direttamente dal campo "InstancesAdded".
InstancesRemoved	about.resource.attribute.labels.instances_removed.value	Mappato direttamente dal campo "InstancesRemoved".
InstancesRemoved	target.user.attribute.roles.instances_removed.name	Mappato direttamente dal campo "InstancesRemoved".
IntegrationEvent	target.resource.attribute.labels.integration_event.value	Mappato direttamente dal campo "IntegrationEvent".
IntegrationStatus	security_result.action_details	Mappato direttamente dal campo "IntegrationStatus".
IntegrationSystem	target.resource.name	Mappato direttamente dal campo "IntegrationSystem".
IP	src.domain.name	Se il campo "IP" non è un indirizzo IP valido, viene mappato a "src.domain.name".
IP	src.ip	Se il campo "IP" è un indirizzo IP valido, viene mappato a "src.ip".
IsDeviceManaged	additional.fields.additional1.value.string_value	Se il campo "IsDeviceManaged" è "N", il valore è impostato su "Riuscito". In caso contrario, è impostato su "Accesso non riuscito".
IsDeviceManaged	additional.fields.additional2.value.string_value	Se il campo "IsDeviceManaged" è "N", il valore è impostato su "Riuscito". In caso contrario, è impostato su "Credenziali non valide".
IsDeviceManaged	additional.fields.additional3.value.string_value	Se il campo "IsDeviceManaged" è "N", il valore è impostato su "Riuscito". In caso contrario, è impostato su "Account bloccato".
IsDeviceManaged	security_result.action_details	Mappato direttamente dal campo "IsDeviceManaged".
OutputFiles	about.file.full_path	Mappato direttamente dal campo "OutputFiles".
Persona	principal.user.primaryId	Se il campo "Persona" inizia con "INT", l'ID utente viene estratto utilizzando un pattern grok e mappato a "principal.user.primaryId".
Persona	principal.user.primaryName	Se il campo "Person" inizia con "INT", il nome visualizzato dell'utente viene estratto utilizzando un pattern grok e mappato a "principal.user.primaryName".
Persona	principal.user.user_display_name	Se il campo "Persona" non inizia con "INT", viene mappato direttamente a "principal.user.user_display_name".
Persona	metadata.event_type	Se il campo "Person" non è vuoto, il campo "metadata.event_type" è impostato su "USER_RESOURCE_UPDATE_CONTENT".
ProcessedTransaction	target.resource.attribute.creation_time	Analizzato in "target.resource.attribute.creation_time" dopo la conversione nel formato "gg/MM/aaaa HH:mm:ss,SSS (ZZZ)", "gg/MM/aaaa, HH:mm:ss,SSS (ZZZ)" o "MM/gg/aaaa, HH:mm:ss.SSS A ZZZ".
ProgramBy	principal.user.userid	Mappato direttamente dal campo "ProgramBy".
RecurrenceEndDate	principal.resource.attribute.last_update_time	Analizzato in "principal.resource.attribute.last_update_time" dopo la conversione nel formato "aaaa-MM-gg".
RecurrenceStartDate	principal.resource.attribute.creation_time	Analizzato come "principal.resource.attribute.creation_time" dopo la conversione nel formato "aaaa-MM-gg".
RequestName	metadata.description	Mappato direttamente dal campo "RequestName".
ResponseMessage	security_result.summary	Mappato direttamente dal campo "ResponseMessage".
RestrictedToEnvironment	security_result.about.hostname	Mappato direttamente dal campo "RestrictedToEnvironment".
RevokedSecurity	security_result.outcomes.outcomes.value	Mappato direttamente dal campo "RevokedSecurity".
RunFrequency	principal.resource.attribute.labels.run_frequency.value	Mappato direttamente dal campo "RunFrequency".
ScheduledProcess	principal.resource.name	Mappato direttamente dal campo "ScheduledProcess".
SecuredTaskExecuted	target.resource.name	Mappato direttamente dal campo "SecuredTaskExecuted".
SecureTaskExecuted	metadata.event_type	Se il campo "SecureTaskExecuted" contiene "Create", il campo "metadata.event_type" è impostato su "USER_RESOURCE_CREATION".
SecureTaskExecuted	target.resource.name	Mappato direttamente dal campo "SecureTaskExecuted".
SentTime	@timestamp	Analizzato in "@timestamp" dopo la conversione nel formato "ISO8601".
SessionId	network.session_id	Mappato direttamente dal campo "SessionId".
ShareBy	target.user.userid	Mappato direttamente dal campo "ShareBy".
SignOffTime	additional.fields.additional4.value.string_value	Il valore del campo "AuthFailMessage" viene inserito nell'array "additional.fields" con la chiave "Enterprise Interface Builder".
SignOffTime	metadata.description	Mappato direttamente dal campo "AuthFailMessage".
SignOffTime	metadata.event_type	Se il campo "SignOffTime" è vuoto, il campo "metadata.event_type" è impostato su "USER_LOGIN". In caso contrario, è impostato su "USER_LOGOUT".
SignOffTime	principal.user.attribute.last_update_time	Analizzato come "principal.user.attribute.last_update_time" dopo la conversione nel formato "ISO8601".
SignOnIp	src.domain.name	Se il campo "SignOnIp" non è un indirizzo IP valido, viene mappato a "src.domain.name".
SignOnIp	src.ip	Se il campo "SignOnIp" è un indirizzo IP valido, viene mappato a "src.ip".
Stato	metadata.product_event_type	Mappato direttamente dal campo "Stato".
SystemAccount	principal.user.email_addresses	L'indirizzo email viene estratto dal campo "SystemAccount" utilizzando un pattern grok e mappato a "principal.user.email_addresses".
SystemAccount	principal.user.primaryId	L'ID utente viene estratto dal campo "SystemAccount" utilizzando un pattern grok e mappato a "principal.user.primaryId".
SystemAccount	principal.user.primaryName	Il nome visualizzato dell'utente viene estratto dal campo "SystemAccount" utilizzando un pattern grok e mappato a "principal.user.primaryName".
SystemAccount	src.user.userid	L'ID utente secondario viene estratto dal campo "SystemAccount" utilizzando un pattern grok e mappato a "src.user.userid".
SystemAccount	src.user.user_display_name	Il nome visualizzato dell'utente secondario viene estratto dal campo "SystemAccount" utilizzando un pattern grok e mappato a "src.user.user_display_name".
SystemAccount	target.user.userid	L'ID utente di destinazione viene estratto dal campo "SystemAccount" utilizzando un pattern grok e mappato a "target.user.userid".
Target	target.user.user_display_name	Mappato direttamente dal campo "Target".
Modello	about.resource.name	Mappato direttamente dal campo "Modello".
Tenant	target.asset.hostname	Mappato direttamente dal campo "Tenant".
TlsVersion	network.tls.version	Mappato direttamente dal campo "TlsVersion".
Transazione	security_result.action_details	Mappato direttamente dal campo "Transazione".
TransactionType	security_result.summary	Mappato direttamente dal campo "TransactionType".
TypeForm	target.resource.resource_subtype	Mappato direttamente dal campo "TypeForm".
UserAgent	network.http.parsed_user_agent	Analizzato dal campo "UserAgent" utilizzando il filtro "useragent".
UserAgent	network.http.user_agent	Mappato direttamente dal campo "UserAgent".
WorkdayAccount	target.user.user_display_name	Il nome visualizzato dell'utente viene estratto dal campo "WorkdayAccount" utilizzando un pattern grok e mappato a "target.user.user_display_name".
WorkdayAccount	target.user.userid	L'ID utente viene estratto dal campo "WorkdayAccount" utilizzando un pattern grok e mappato a "target.user.userid".
additional.fields.additional1.key	Imposta "FailedSignOn".
additional.fields.additional2.key	Imposta il valore su "InvalidCredentials".
additional.fields.additional3.key	Impostato su "AccountLocked".
additional.fields.additional4.key	Imposta su "Enterprise Interface Builder".
metadata.event_type	Impostato inizialmente su "GENERIC_EVENT" e poi aggiornato in base alla logica che coinvolge altri campi.
metadata.event_type	Imposta "USER_CHANGE_PERMISSIONS" per tipi di eventi specifici.
metadata.event_type	Imposta "RESOURCE_WRITTEN" per tipi di eventi specifici.
metadata.log_type	Codificato in modo permanente su "WORKDAY_AUDIT".
metadata.product_name	Codificato in modo permanente su "Enterprise Interface Builder".
metadata.vendor_name	Codificato in modo permanente su "Giorno lavorativo".
principal.asset.category	Imposta "Telefono" se il campo "DeviceType" è "Telefono".
principal.resource.resource_type	Codificato in modo permanente su "TASK" se il campo "ScheduledProcess" non è vuoto.
security_result.action	Imposta il valore "ALLOW" o "FAIL" in base ai valori dei campi "FailedSignOn", "IsDeviceManaged", "InvalidCredentials" e "AccountLocked".
security_result.summary	Imposta "Riuscito" o messaggi di errore specifici in base ai valori dei campi "FailedSignOn", "IsDeviceManaged", "InvalidCredentials" e "AccountLocked".
target.resource.resource_type	Codificato come "TASK" per tipi di eventi specifici.
target.resource.resource_type	Codificato in modo permanente su "DATASET" se il campo "TypeForm" non è vuoto.
messaggio	principal.user.email_addresses	Estrae l'indirizzo email dal campo "message" utilizzando un pattern grok e lo unisce a "principal.user.email_addresses" se viene trovato un pattern specifico.
messaggio	src.user.userid	Cancella il campo se il campo "event.idm.read_only_udm.principal.user.userid" corrisponde a "user_target" estratto dal campo "message".
messaggio	src.user.user_display_name	Cancella il campo se il campo "event.idm.read_only_udm.principal.user.userid" corrisponde a "user_target" estratto dal campo "message".
messaggio	target.user.userid	Estrae l'ID utente dal campo "message" utilizzando un pattern grok e lo mappa a "target.user.userid" se viene trovato un pattern specifico.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.