Mensajes de suceso de ejemplo de Google Cloud Audit Logs
Utilice estos mensajes de suceso de ejemplo para verificar una integración satisfactoria con IBM QRadar.
Importante: Debido a problemas de formato, pegue el formato de mensaje en un editor de texto y, a continuación, elimine los caracteres de retorno de carro o salto de línea.
Mensaje de ejemplo de Google Cloud Audit Logs cuando utiliza el protocolo Google Cloud Pub/Sub : lista de objetos recuperados
El siguiente mensaje de suceso de ejemplo muestra la recuperación de una lista de objetos que coinciden con los criterios que se proporcionan. Esta recuperación es el resultado de una acción realizada por Google Cloud Storage.
{"insertId":"a1aaaaa11aaa","logName":"projects/clover-pciprod/logs/cloudaudit.googleapis.
com%2Fdata_access","protoPayload":{"@type":"type.googleapis.com/google.cloud.audit.AuditLog",
"authenticationInfo":{"principalEmail":"user@test"},
"authorizationInfo":[{"granted":true,"permission":"storage.objects.list","resource":"projects
/_/buckets/rivus-file-cache-clover-pciprod","resourceAttributes":{}}],
"methodName":"storage.objects.list","requestMetadata":
{"callerIp":"10.135.0.42","callerNetwork":"//compute.googleapis.com/projec
ts/clover-vpc-pci/global/networks/__unknown__","callerSuppliedUserAgent":"Clover Google-API-Jav
a-Client Google-HTTP-Java-Client/1.28.0 (gzip),gzip(gfe)","destinationAttributes":{},"requestAt
tributes":{"auth":{},"time":"2020-04-08T23:35:14.487672816Z"}},"resourceLocation":{"currentLoca
tions":["location"]},"resourceName":"projects/_/buckets/rivus-file-cache-clover-pciprod",
"serviceName":"storage.googleapis.com","status":{}},
"receiveTimestamp":"2020-04-08T23:35:15.981168264Z","resource":{"labels":
{"bucket_name":"rivus-file-cache-clover-pciprod","location":"location","project_id":"clover-pc
iprod"},"type":"gcs_bucket"},"severity":"INFO","timestamp":"2020-04-08T23:35:14.483227095Z"}| QRadar Nombre del campo de | Nombre de campo de carga útil resaltado |
|---|---|
| ID de suceso | MethodName |
| Categoría de suceso | serviceName |
| Hora de origen de registro | receivedTimestamp |
| Nombre de usuario | authenticationInfo + principalEmail |
| IP de origen | requestMetadata + callerIp |
Mensaje de ejemplo de Google Cloud Audit Logs cuando se utiliza el protocolo Google Cloud Pub/Sub : información de objeto modificada
El siguiente mensaje de suceso de ejemplo muestra la modificación de la información de un objeto y es el resultado de una acción realizada por Google Cloud Storage.
{"insertId":"a1aaaaa11aaa","logName":"projects/clover-pciprod/logs/cloudaudit.googleapis.
com%2Fdata_access","protoPayload":{"@type":"type.googleapis.com/google.cloud.audit.AuditLog",
"authenticationInfo":{"principalEmail":"user@test"},"authorizationInfo":
[{"granted":true,"permission":"storage.objects.update","resource":"projects/_/buckets/rivus-
file-cache-clover-pciprod/objects/NORTH_ADJUSTMENT/2020/04/08/USER#A11AAA.11111111.111111.te
st.example","resourceAttributes":{}}],"methodName":"storage.objects.update"
,"requestMetadata":{"callerIp":"10.135.0.42","callerNetwork":"//compute.
googleapis.com/projects/clover-vpc-pci/global/networks/__unknown__","callerSuppliedUserAgent":
"Clover Google-API-Java-Client Google-HTTP-Java-Client/1.28.0 (gzip),gzip(gfe)","destinationAt
tributes":{},"requestAttributes":{"auth":{},"time":"2020-04-08T23:35:26.176068572Z"}},"resourc
eLocation":{"currentLocations":["location"]},"resourceName":"projects/_/buckets/rivus-file-cac
he-clover-pciprod/objects/NORTH_ADJUSTMENT/2020/04/08/USER#A11AAA.11111111.111111.test.example
","serviceName":"storage.googleapis.com","status":{}},"receiveTimestamp":
"2020-04-08T23:35:27.212247517Z","resource":{"labels":{"bucket_name":"rivus-file-cache-clover-
pciprod","location":"location","project_id":"clover-pciprod"},"type":"gcs_bucket"},"severity":
"INFO","timestamp":"2020-04-08T23:35:26.171189525Z"}| QRadar Nombre del campo de | Nombre de campo de carga útil resaltado |
|---|---|
| ID de suceso | principalEmail |
| Categoría de suceso | methodName |
| Hora de origen de registro | callerIp |
| Nombre de usuario | serviceName |
| IP de origen | timestamp |