Workday 監査ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Google Cloud Storage を使用して Workday 監査ログを Google Security Operations に取り込む方法について説明します。パーサーは、まず JSON データのパターン分析に基づいて、ログから特定のイベントタイプを特定します。次に、特定されたタイプに従って関連するフィールドを抽出して構造化し、一貫したセキュリティ分析のために統合データモデル(UDM)にマッピングします。
始める前に
次の前提条件を満たしていることを確認します。
- Google SecOps インスタンス
- Cloud Storage API が有効になっている GCP プロジェクト
- GCS バケットを作成および管理する権限
- GCS バケットの IAM ポリシーを管理する権限
- Cloud Run 関数、Pub/Sub トピック、Cloud Scheduler ジョブを作成する権限
- Workday への特権アクセス
Google Cloud Storage バケットを作成する
- Google Cloud Console に移動します。
- プロジェクトを選択するか、新しいプロジェクトを作成します。
- ナビゲーション メニューで、[Cloud Storage > バケット] に移動します。
- [バケットを作成] をクリックします。
次の構成情報を提供してください。
設定 値 バケットに名前を付ける グローバルに一意の名前( workday-audit-logsなど)を入力します。ロケーション タイプ ニーズに基づいて選択します(リージョン、デュアルリージョン、マルチリージョン)。 ロケーション ロケーションを選択します(例: us-central1)。ストレージ クラス Standard(頻繁にアクセスされるログにおすすめ) アクセス制御 均一(推奨) 保護ツール 省略可: オブジェクトのバージョニングまたは保持ポリシーを有効にする [作成] をクリックします。
Workday 統合システム ユーザー(ISU)を作成する
- Workday で、[Create Integration System User > OK] を検索します。
- [ユーザー名](例:
audit_gcs_user)を入力します。 - [OK] をクリックします。
- [Related Actions] > [Security] > [Reset Password] に移動して、パスワードをリセットします。
- [パスワード ルールを維持する] を選択して、パスワードの有効期限が切れないようにします。
- [セキュリティ グループの作成>統合システム セキュリティ グループ(制限なし)] を検索します。
- 名前(
ISU_Audit_GCSなど)を指定し、ISU を [Integration System Users] に追加します。 - [機能領域のドメイン セキュリティ ポリシー> システム] を検索します。
- [監査証跡] で、[アクション>権限を編集] を選択します。
- [Get Only] で、
ISU_Audit_GCSグループを追加します。 - [OK>保留中のセキュリティ ポリシーの変更を有効にする] をクリックします。
Workday カスタム レポートを構成する
- Workday で「Create Custom Report」を検索します。
- 次の構成の詳細を指定します。
- 名前: 一意の名前を入力します(例:
Audit_Trail_BP_JSON)。 - Type: [Advanced] を選択します。
- データソース: [監査証跡 - ビジネス プロセス] を選択します。
- 名前: 一意の名前を入力します(例:
- [OK] をクリックします。
- 省略可: [ビジネス プロセス タイプ] または [有効日] にフィルタを追加します。
- [出力] タブに移動します。
- [Enable as Web Service]、[Optimized for Performance] を選択し、[JSON Format] を選択します。
- [OK>完了] をクリックします。
- レポートを開き、[共有> ISU_Audit_GCS を追加(表示権限あり)> OK] をクリックします。
- [Related Actions] > [Web Service] > [View URLs] に移動します。
JSON URL をコピーします。
Cloud Run functions のサービス アカウントを作成する
Cloud Run 関数には、GCS バケットに書き込み、Pub/Sub によって呼び出される権限を持つサービス アカウントが必要です。
サービス アカウントの作成
- GCP Console で、[IAM と管理>サービス アカウント] に移動します。
- [サービス アカウントを作成] をクリックします。
- 次の構成の詳細を指定します。
- サービス アカウント名: 「
workday-audit-collector-sa」と入力します。 - サービス アカウントの説明: 「
Service account for Cloud Run function to collect Workday audit logs」と入力します。
- サービス アカウント名: 「
- [作成して続行] をクリックします。
- [このサービス アカウントにプロジェクトへのアクセスを許可する] セクションで、次のロールを追加します。
- [ロールを選択] をクリックします。
- [ストレージ オブジェクト管理者] を検索して選択します。
- [+ 別のロールを追加] をクリックします。
- [Cloud Run 起動元] を検索して選択します。
- [+ 別のロールを追加] をクリックします。
- [Cloud Functions 起動元] を検索して選択します。
- [続行] をクリックします。
- [完了] をクリックします。
これらのロールは、次の目的で必要です。
- Storage オブジェクト管理者: GCS バケットにログを書き込む
- Cloud Run 起動元: Pub/Sub が関数を呼び出すことを許可する
- Cloud Functions 起動元: 関数の呼び出しを許可する
GCS バケットに対する IAM 権限を付与する
GCS バケットに対する書き込み権限をサービス アカウントに付与します。
- [Cloud Storage] > [バケット] に移動します。
- バケット名をクリックします。
- [権限] タブに移動します。
- [アクセス権を付与] をクリックします。
- 次の構成の詳細を指定します。
- プリンシパルを追加: サービス アカウントのメールアドレス(例:
workday-audit-collector-sa@PROJECT_ID.iam.gserviceaccount.com)を入力します。 - ロールを割り当てる: [Storage オブジェクト管理者] を選択します。
- プリンシパルを追加: サービス アカウントのメールアドレス(例:
- [保存] をクリックします。
Pub/Sub トピックの作成
Cloud Scheduler がパブリッシュし、Cloud Run functions がサブスクライブする Pub/Sub トピックを作成します。
- GCP Console で、[Pub/Sub> トピック] に移動します。
- [トピックを作成] をクリックします。
- 次の構成の詳細を指定します。
- トピック ID: 「
workday-audit-trigger」と入力します。 - その他の設定はデフォルトのままにします。
- トピック ID: 「
- [作成] をクリックします。
ログを収集する Cloud Run 関数を作成する
Cloud Run 関数は、Cloud Scheduler からの Pub/Sub メッセージによってトリガーされ、Workday API からログを取得して GCS に書き込みます。
- GCP Console で、[Cloud Run] に移動します。
- [サービスを作成] をクリックします。
- [関数] を選択します(インライン エディタを使用して関数を作成します)。
[構成] セクションで、次の構成の詳細を指定します。
設定 値 サービス名 workday-audit-collectorリージョン GCS バケットと一致するリージョンを選択します(例: us-central1)。ランタイム [Python 3.12] 以降を選択します。 [トリガー(省略可)] セクションで、次の操作を行います。
- [+ トリガーを追加] をクリックします。
- [Cloud Pub/Sub] を選択します。
- [Cloud Pub/Sub トピックを選択してください] で、トピック
workday-audit-triggerを選択します。 - [保存] をクリックします。
[認証] セクションで、次の操作を行います。
- [認証が必要] を選択します。
- Identity and Access Management(IAM)を確認します。
下にスクロールして、[コンテナ、ネットワーキング、セキュリティ] を開きます。
[セキュリティ] タブに移動します。
- サービス アカウント: サービス アカウント
workday-audit-collector-saを選択します。
- サービス アカウント: サービス アカウント
[コンテナ] タブに移動します。
- [変数とシークレット] をクリックします。
- 環境変数ごとに [+ 変数を追加] をクリックします。
変数名 値の例 GCS_BUCKETworkday-audit-logsWD_USERaudit_gcs_userWD_PASSyour-workday-passwordWD_URLhttps://wd-servicesN.workday.com/ccx/service/customreport2/<tenant>/<user>/Audit_Trail_BP_JSON?format=json[変数とシークレット] タブで [リクエスト] まで下にスクロールします。
- リクエストのタイムアウト:
600秒(10 分)を入力します。
- リクエストのタイムアウト:
[コンテナ] の [設定] タブに移動します。
- [リソース] セクションで次の操作を行います。
- メモリ: 512 MiB 以上を選択します。
- CPU: [1] を選択します。
- [完了] をクリックします。
- [リソース] セクションで次の操作を行います。
[実行環境] までスクロールします。
- [デフォルト](推奨)を選択します。
[リビジョン スケーリング] セクションで、次の操作を行います。
- [インスタンスの最小数] に「
0」と入力します。 - インスタンスの最大数:
100と入力します(または、予想される負荷に基づいて調整します)。
- [インスタンスの最小数] に「
[作成] をクリックします。
サービスが作成されるまで待ちます(1 ~ 2 分)。
サービスを作成すると、インライン コードエディタが自動的に開きます。
関数コードを追加する
- [関数のエントリ ポイント] に「main」と入力します。
インライン コードエディタで、次の 2 つのファイルを作成します。
- 最初のファイル: main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone import base64 import gzip import io import uuid # Initialize HTTP client http = urllib3.PoolManager( timeout=urllib3.Timeout(connect=5.0, read=30.0), retries=False, ) # Initialize Storage client storage_client = storage.Client() @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch logs from Workday API and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ # Get environment variables bucket_name = os.environ.get('GCS_BUCKET') wd_user = os.environ.get('WD_USER') wd_pass = os.environ.get('WD_PASS') wd_url = os.environ.get('WD_URL') if not all([bucket_name, wd_user, wd_pass, wd_url]): print('Error: Missing required environment variables') return try: # Get GCS bucket bucket = storage_client.bucket(bucket_name) print(f'Fetching Workday audit report from {wd_url}') # Fetch report from Workday data = fetch_report(wd_url, wd_user, wd_pass) # Upload to GCS timestamp = datetime.now(timezone.utc) upload(bucket, data, timestamp) print(f'Successfully uploaded Workday audit report ({len(data)} bytes raw)') except Exception as e: print(f'Error processing logs: {str(e)}') raise def fetch_report(url, username, password): """Fetch report from Workday using Basic Auth.""" credentials = f"{username}:{password}" credentials_bytes = credentials.encode('utf-8') auth_header = b"Basic " + base64.b64encode(credentials_bytes) req_headers = { "Authorization": auth_header.decode('utf-8') } response = http.request('GET', url, headers=req_headers) if response.status != 200: raise Exception(f"Failed to fetch report: HTTP {response.status}") return response.data def upload(bucket, payload, ts): """Upload gzipped JSON to GCS.""" key = f"{ts:%Y/%m/%d}/workday-audit-{uuid.uuid4()}.json.gz" buf = io.BytesIO() with gzip.GzipFile(fileobj=buf, mode='w') as gz: gz.write(payload) buf.seek(0) blob = bucket.blob(key) blob.upload_from_file(buf, content_type='application/gzip') print(f'Uploaded to gs://{bucket.name}/{key}')- 2 つ目のファイル: requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0[デプロイ] をクリックして、関数を保存してデプロイします。
デプロイが完了するまで待ちます(2 ~ 3 分)。
Cloud Scheduler ジョブの作成
Cloud Scheduler は、定期的に Pub/Sub トピックにメッセージをパブリッシュし、Cloud Run functions の関数をトリガーします。
- GCP Console で、[Cloud Scheduler] に移動します。
- [ジョブを作成] をクリックします。
次の構成情報を提供してください。
設定 値 名前 workday-audit-collector-dailyリージョン Cloud Run functions と同じリージョンを選択する 周波数 20 2 * * *(毎日 02:20 UTC に実行)タイムゾーン タイムゾーンを選択します(UTC を推奨)。 ターゲット タイプ Pub/Sub トピック トピック workday-audit-triggerを選択します。メッセージ本文 {}(空の JSON オブジェクト)[作成] をクリックします。
スケジュールの頻度のオプション
ログの量とレイテンシの要件に基づいて頻度を選択します。
頻度 CRON 式 ユースケース 5 分毎 */5 * * * *大容量、低レイテンシ 15 分ごと */15 * * * *検索量が普通 1 時間ごと 0 * * * *標準 6 時間ごと 0 */6 * * *少量、バッチ処理 毎日 20 2 * * *過去のデータの収集(推奨)
スケジューラ ジョブをテストする
- Cloud Scheduler コンソールで、ジョブを見つけます。
- [強制実行] をクリックして手動でトリガーします。
- 数秒待ってから、[Cloud Run> サービス> workday-audit-collector > ログ] に移動します。
- 関数が正常に実行されたことを確認します。
- GCS バケットをチェックして、ログが書き込まれたことを確認します。
Google SecOps サービス アカウントを取得する
Google SecOps は、一意のサービス アカウントを使用して GCS バケットからデータを読み取ります。このサービス アカウントにバケットへのアクセス権を付与する必要があります。
サービス アカウントのメールアドレスを取得する
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- [単一フィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例:
Workday Audit Logs)。 - [ソースタイプ] として [Google Cloud Storage V2] を選択します。
- [ログタイプ] として [Workday Audit] を選択します。
[サービス アカウントを取得する] をクリックします。一意のサービス アカウント メールアドレスが表示されます(例:)。
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comこのメールアドレスをコピーして、次のステップで使用します。
Google SecOps サービス アカウントに IAM 権限を付与する
Google SecOps サービス アカウントには、GCS バケットに対する Storage オブジェクト閲覧者ロールが必要です。
- [Cloud Storage] > [バケット] に移動します。
- バケット名をクリックします。
- [権限] タブに移動します。
- [アクセス権を付与] をクリックします。
- 次の構成の詳細を指定します。
- プリンシパルを追加: Google SecOps サービス アカウントのメールアドレスを貼り付けます。
- ロールを割り当てる: [ストレージ オブジェクト閲覧者] を選択します。
[保存] をクリックします。
Workday 監査ログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- [単一フィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例:
Workday Audit Logs)。 - [ソースタイプ] として [Google Cloud Storage V2] を選択します。
- [ログタイプ] として [Workday Audit] を選択します。
- [次へ] をクリックします。
次の入力パラメータの値を指定します。
ストレージ バケットの URL: 接頭辞パスを含む GCS バケット URI を入力します。
gs://workday-audit-logs/workday-audit-logsは、実際の GCS バケット名に置き換えます。
Source deletion option: 必要に応じて削除オプションを選択します。
- なし: 転送後にファイルを削除しません(テストにおすすめ)。
- 転送されたファイルを削除する: 転送が完了した後にファイルを削除します。
- 転送されたファイルと空のディレクトリを削除する: 転送が完了した後にファイルと空のディレクトリを削除します。
ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
アセットの名前空間: アセットの名前空間。
Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
| アカウント | metadata.event_type | 「Account」フィールドが空でない場合、「metadata.event_type」フィールドは「USER_RESOURCE_UPDATE_CONTENT」に設定されます。 |
| アカウント | principal.user.primaryId | userid は、grok パターンを使用して「Account」フィールドから抽出され、principal.user.primaryId にマッピングされます。 |
| アカウント | principal.user.primaryName | ユーザーの表示名は、Grok パターンを使用して「Account」フィールドから抽出され、「principal.user.primaryName」にマッピングされます。 |
| ActivityCategory | metadata.event_type | 「ActivityCategory」フィールドが「READ」の場合、「metadata.event_type」フィールドは「RESOURCE_READ」に設定されます。「WRITE」の場合は、「RESOURCE_WRITTEN」に設定されます。 |
| ActivityCategory | metadata.product_event_type | 「ActivityCategory」フィールドから直接マッピングされます。 |
| AffectedGroups | target.user.group_identifiers | 「AffectedGroups」フィールドから直接マッピングされます。 |
| 地域 | target.resource.attribute.labels.area.value | 「Area」フィールドから直接マッピングされます。 |
| AuthType | extensions.auth.auth_details | 「AuthType」フィールドから直接マッピングされます。 |
| AuthType | extensions.auth.type | 特定の値に基づいて、「AuthType」フィールドから UDM で定義されたさまざまな認証タイプにマッピングされます。 |
| CFIPdeConexion | src.domain.name | 「CFIPdeConexion」フィールドが有効な IP アドレスでない場合、「src.domain.name」にマッピングされます。 |
| CFIPdeConexion | target.ip | 「CFIPdeConexion」フィールドが有効な IP アドレスの場合、「target.ip」にマッピングされます。 |
| ChangedRelationship | metadata.description | 「ChangedRelationship」フィールドから直接マッピングされます。 |
| ClassOfInstance | target.resource.attribute.labels.class_instance.value | 「ClassOfInstance」フィールドから直接マッピングされます。 |
| column18 | about.labels.utub.value | 「column18」フィールドから直接マッピングされます。 |
| CreatedBy | principal.user.userid | userid は Grok パターンを使用して「CreatedBy」フィールドから抽出され、「principal.user.userid」にマッピングされます。 |
| CreatedBy | principal.user.user_display_name | ユーザーの表示名は、grok パターンを使用して「CreatedBy」フィールドから抽出され、「principal.user.user_display_name」にマッピングされます。 |
| ドメイン | about.domain.name | 「Domain」フィールドから直接マッピングされます。 |
| EffectiveDate | @timestamp | 「yyyy-MM-dd HH:mm:ss.SSSZ」形式に変換された後、「@timestamp」に解析されます。 |
| EntryMoment | @timestamp | 「ISO8601」形式に変換してから「@timestamp」に解析されます。 |
| EventType | security_result.description | 「EventType」フィールドから直接マッピングされます。 |
| フォーム | target.resource.name | 「Form」フィールドから直接マッピングされます。 |
| InstancesAdded | about.resource.attribute.labels.instances_added.value | 「InstancesAdded」フィールドから直接マッピングされます。 |
| InstancesAdded | target.user.attribute.roles.instances_added.name | 「InstancesAdded」フィールドから直接マッピングされます。 |
| InstancesRemoved | about.resource.attribute.labels.instances_removed.value | 「InstancesRemoved」フィールドから直接マッピングされます。 |
| InstancesRemoved | target.user.attribute.roles.instances_removed.name | 「InstancesRemoved」フィールドから直接マッピングされます。 |
| IntegrationEvent | target.resource.attribute.labels.integration_event.value | 「IntegrationEvent」フィールドから直接マッピングされます。 |
| IntegrationStatus | security_result.action_details | 「IntegrationStatus」フィールドから直接マッピングされます。 |
| IntegrationSystem | target.resource.name | 「IntegrationSystem」フィールドから直接マッピングされます。 |
| IP | src.domain.name | 「IP」フィールドが有効な IP アドレスでない場合は、「src.domain.name」にマッピングされます。 |
| IP | src_ip | 「IP」フィールドが有効な IP アドレスの場合、「src.ip」にマッピングされます。 |
| IsDeviceManaged | additional.fields.additional1.value.string_value | [IsDeviceManaged] フィールドが [N] の場合、値は [Successful] に設定されます。それ以外の場合は、「Failed login occurred」に設定されます。 |
| IsDeviceManaged | additional.fields.additional2.value.string_value | [IsDeviceManaged] フィールドが [N] の場合、値は [Successful] に設定されます。それ以外の場合は、「Invalid Credentials」に設定されます。 |
| IsDeviceManaged | additional.fields.additional3.value.string_value | [IsDeviceManaged] フィールドが [N] の場合、値は [Successful] に設定されます。それ以外の場合は、「Account Locked」に設定されます。 |
| IsDeviceManaged | security_result.action_details | 「IsDeviceManaged」フィールドから直接マッピングされます。 |
| OutputFiles | about.file.full_path | 「OutputFiles」フィールドから直接マッピングされます。 |
| 人物 | principal.user.primaryId | 「Person」フィールドが「INT」で始まる場合、userid は Grok パターンを使用して抽出され、「principal.user.primaryId」にマッピングされます。 |
| 人物 | principal.user.primaryName | 「Person」フィールドが「INT」で始まる場合、ユーザーの表示名は grok パターンを使用して抽出され、「principal.user.primaryName」にマッピングされます。 |
| 人物 | principal.user.user_display_name | 「Person」フィールドが「INT」で始まらない場合、「principal.user.user_display_name」に直接マッピングされます。 |
| 人物 | metadata.event_type | 「Person」フィールドが空でない場合、「metadata.event_type」フィールドは「USER_RESOURCE_UPDATE_CONTENT」に設定されます。 |
| ProcessedTransaction | target.resource.attribute.creation_time | 「dd/MM/yyyy HH:mm:ss,SSS (ZZZ)」、「dd/MM/yyyy, HH:mm:ss,SSS (ZZZ)」、「MM/dd/yyyy, HH:mm:ss.SSS A ZZZ」形式に変換された後、「target.resource.attribute.creation_time」に解析されます。 |
| ProgramBy | principal.user.userid | 「ProgramBy」フィールドから直接マッピングされます。 |
| RecurrenceEndDate | principal.resource.attribute.last_update_time | 「yyyy-MM-dd」形式に変換された後、「principal.resource.attribute.last_update_time」に解析されます。 |
| RecurrenceStartDate | principal.resource.attribute.creation_time | 「yyyy-MM-dd」形式に変換された後、「principal.resource.attribute.creation_time」に解析されます。 |
| RequestName | metadata.description | 「RequestName」フィールドから直接マッピングされます。 |
| ResponseMessage | security_result.summary | 「ResponseMessage」フィールドから直接マッピングされます。 |
| RestrictedToEnvironment | security_result.about.hostname | 「RestrictedToEnvironment」フィールドから直接マッピングされます。 |
| RevokedSecurity | security_result.outcomes.outcomes.value | 「RevokedSecurity」フィールドから直接マッピングされます。 |
| RunFrequency | principal.resource.attribute.labels.run_frequency.value | 「RunFrequency」フィールドから直接マッピングされます。 |
| ScheduledProcess | principal.resource.name | 「ScheduledProcess」フィールドから直接マッピングされます。 |
| SecuredTaskExecuted | target.resource.name | 「SecuredTaskExecuted」フィールドから直接マッピングされます。 |
| SecureTaskExecuted | metadata.event_type | 「SecureTaskExecuted」フィールドに「Create」が含まれている場合、「metadata.event_type」フィールドは「USER_RESOURCE_CREATION」に設定されます。 |
| SecureTaskExecuted | target.resource.name | 「SecureTaskExecuted」フィールドから直接マッピングされます。 |
| SentTime | @timestamp | 「ISO8601」形式に変換してから「@timestamp」に解析されます。 |
| SessionId | network.session_id | 「SessionId」フィールドから直接マッピングされます。 |
| ShareBy | target.user.userid | 「ShareBy」フィールドから直接マッピングされます。 |
| SignOffTime | additional.fields.additional4.value.string_value | 「AuthFailMessage」フィールドの値は、「Enterprise Interface Builder」というキーを持つ「additional.fields」配列内に配置されます。 |
| SignOffTime | metadata.description | 「AuthFailMessage」フィールドから直接マッピングされます。 |
| SignOffTime | metadata.event_type | 「SignOffTime」フィールドが空の場合、「metadata.event_type」フィールドは「USER_LOGIN」に設定されます。それ以外の場合は「USER_LOGOUT」に設定されます。 |
| SignOffTime | principal.user.attribute.last_update_time | 「ISO8601」形式に変換された後、「principal.user.attribute.last_update_time」に解析されます。 |
| SignOnIp | src.domain.name | 「SignOnIp」フィールドが有効な IP アドレスでない場合、「src.domain.name」にマッピングされます。 |
| SignOnIp | src_ip | 「SignOnIp」フィールドが有効な IP アドレスの場合、「src.ip」にマッピングされます。 |
| ステータス | metadata.product_event_type | 「Status」フィールドから直接マッピングされます。 |
| SystemAccount | principal.user.email_addresses | メールアドレスは、Grok パターンを使用して「SystemAccount」フィールドから抽出され、「principal.user.email_addresses」にマッピングされます。 |
| SystemAccount | principal.user.primaryId | userid は Grok パターンを使用して「SystemAccount」フィールドから抽出され、「principal.user.primaryId」にマッピングされます。 |
| SystemAccount | principal.user.primaryName | ユーザーの表示名は、grok パターンを使用して「SystemAccount」フィールドから抽出され、「principal.user.primaryName」にマッピングされます。 |
| SystemAccount | src.user.userid | セカンダリ ユーザー ID は、grok パターンを使用して「SystemAccount」フィールドから抽出され、「src.user.userid」にマッピングされます。 |
| SystemAccount | src.user.user_display_name | セカンダリ ユーザーの表示名は、grok パターンを使用して「SystemAccount」フィールドから抽出され、「src.user.user_display_name」にマッピングされます。 |
| SystemAccount | target.user.userid | ターゲット ユーザー ID は、Grok パターンを使用して「SystemAccount」フィールドから抽出され、「target.user.userid」にマッピングされます。 |
| ターゲット | target.user.user_display_name | 「Target」フィールドから直接マッピングされます。 |
| テンプレート | about.resource.name | 「Template」フィールドから直接マッピングされます。 |
| テナント | target.asset.hostname | 「Tenant」フィールドから直接マッピングされます。 |
| TlsVersion | network.tls.version | 「TlsVersion」フィールドから直接マッピングされます。 |
| トランザクション | security_result.action_details | 「Transaction」フィールドから直接マッピングされます。 |
| TransactionType | security_result.summary | 「TransactionType」フィールドから直接マッピングされます。 |
| TypeForm | target.resource.resource_subtype | 「TypeForm」フィールドから直接マッピングされます。 |
| UserAgent | network.http.parsed_user_agent | 「useragent」フィルタを使用して、「UserAgent」フィールドから解析されます。 |
| UserAgent | network.http.user_agent | 「UserAgent」フィールドから直接マッピングされます。 |
| WorkdayAccount | target.user.user_display_name | ユーザーの表示名は、grok パターンを使用して「WorkdayAccount」フィールドから抽出され、「target.user.user_display_name」にマッピングされます。 |
| WorkdayAccount | target.user.userid | userid は、grok パターンを使用して「WorkdayAccount」フィールドから抽出され、「target.user.userid」にマッピングされます。 |
| additional.fields.additional1.key | 「FailedSignOn」に設定します。 | |
| additional.fields.additional2.key | 「InvalidCredentials」に設定します。 | |
| additional.fields.additional3.key | 「AccountLocked」に設定します。 | |
| additional.fields.additional4.key | 「Enterprise Interface Builder」に設定します。 | |
| metadata.event_type | 最初は「GENERIC_EVENT」に設定され、他のフィールドを含むロジックに基づいて更新されます。 | |
| metadata.event_type | 特定のイベントタイプの場合は「USER_CHANGE_PERMISSIONS」に設定します。 | |
| metadata.event_type | 特定のイベントタイプの場合は「RESOURCE_WRITTEN」に設定します。 | |
| metadata.log_type | 「WORKDAY_AUDIT」にハードコードされています。 | |
| metadata.product_name | 「Enterprise Interface Builder」にハードコードされています。 | |
| metadata.vendor_name | 「Workday」にハードコードされます。 | |
| principal.asset.category | 「DeviceType」フィールドが「Phone」の場合は、「Phone」に設定します。 | |
| principal.resource.resource_type | 「ScheduledProcess」フィールドが空でない場合は、「TASK」にハードコードされます。 | |
| security_result.action | 「FailedSignOn」、「IsDeviceManaged」、「InvalidCredentials」、「AccountLocked」フィールドの値に基づいて、「ALLOW」または「FAIL」に設定されます。 | |
| security_result.summary | 「FailedSignOn」、「IsDeviceManaged」、「InvalidCredentials」、「AccountLocked」フィールドの値に基づいて、「Successful」または特定のエラー メッセージに設定します。 | |
| target.resource.resource_type | 特定のイベントタイプでは「TASK」にハードコードされています。 | |
| target.resource.resource_type | 「TypeForm」フィールドが空でない場合は、「DATASET」にハードコードされます。 | |
| メッセージ | principal.user.email_addresses | Grok パターンを使用して「message」フィールドからメールアドレスを抽出し、特定のパターンと一致する場合は「principal.user.email_addresses」に統合します。 |
| メッセージ | src.user.userid | 「event.idm.read_only_udm.principal.user.userid」フィールドが「message」フィールドから抽出された「user_target」と一致する場合、フィールドをクリアします。 |
| メッセージ | src.user.user_display_name | 「event.idm.read_only_udm.principal.user.userid」フィールドが「message」フィールドから抽出された「user_target」と一致する場合、フィールドをクリアします。 |
| メッセージ | target.user.userid | Grok パターンを使用して「message」フィールドから userid を抽出し、特定のパターンが一致する場合は「target.user.userid」にマッピングします。 |
ご不明な点がございましたら、コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。