이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Atlassian Bitbucket 로그 수집

다음에서 지원:

Google SecOps SIEM

개요

이 파서는 Atlassian Bitbucket JSON 로그에서 필드를 추출하고 UDM에 매핑합니다. 다양한 로그 형식을 처리하고 IP 주소, 사용자 ID, 애셋 정보와 같은 사용 가능한 필드를 기반으로 사용자 또는 대상 항목을 채웁니다. 또한 네트워크 및 사용자 활동을 기반으로 이벤트를 분류하고 보안 관련 발견사항이 있는 경우 이를 통해 데이터를 보강합니다. 파서는 필드를 채울 때 agentDetectionInfo보다 agentRealtimeInfo를 우선시합니다.

시작하기 전에

Google SecOps 인스턴스가 있는지 확인합니다.
내부 저장소에 대한 권한이 있는지 확인합니다.

Atlassian Bitbucket 로그를 수집하도록 Google SecOps에서 피드 구성

SIEM 설정 > 피드로 이동합니다.
새로 추가를 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다 (예: Atlassian Bitbucket Logs).
소스 유형으로 Webhook을 선택합니다.
로그 유형으로 Atlassian Bitbucket을 선택합니다.
다음을 클릭합니다.
선택사항: 다음 입력 매개변수의 값을 지정합니다.
- 분할 구분 기호: 로그 줄을 구분하는 데 사용되는 구분 기호입니다(예: \n).
- 애셋 네임스페이스: 애셋 네임스페이스입니다.
- 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.
다음을 클릭합니다.
확정 화면에서 피드 구성을 검토한 다음 제출을 클릭합니다.
보안 비밀 키 생성을 클릭하여 이 피드를 인증하기 위한 보안 비밀 키를 생성합니다.
비밀 키를 복사하여 저장합니다. 이 보안 비밀 키는 다시 볼 수 없습니다. 필요한 경우 새 보안 비밀 키를 재생성할 수 있지만 이 작업을 하면 이전 보안 비밀 키는 더 이상 사용할 수 없게 됩니다.
세부정보 탭의 엔드포인트 정보 필드에서 피드 엔드포인트 URL을 복사합니다. 클라이언트 애플리케이션에서 이 엔드포인트 URL을 지정해야 합니다.
완료를 클릭합니다.

웹훅 피드에 대한 API 키 만들기

Google Cloud 콘솔 > 사용자 인증 정보로 이동합니다.

사용자 인증 정보로 이동
사용자 인증 정보 만들기를 클릭한 후 API 키를 선택합니다.
Google Security Operations API에 대한 API 키 액세스를 제한합니다.

엔드포인트 URL 지정

클라이언트 애플리케이션에서 웹훅 피드에 제공된 HTTPS 엔드포인트 URL을 지정합니다.
다음 형식의 커스텀 헤더의 일부로 API 키와 보안 비밀 키를 지정하여 인증을 사용 설정합니다.
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
권장사항: URL에 API 키를 지정하는 대신 헤더로 지정하세요. 웹훅 클라이언트가 커스텀 헤더를 지원하지 않는 경우 다음 형식의 쿼리 매개변수를 사용하여 API 키와 보안 비밀 키를 지정할 수 있습니다.
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```

다음을 바꿉니다.

ENDPOINT_URL: 피드 엔드포인트 URL입니다.
API_KEY: Google Security Operations에 인증하기 위한 API 키입니다.
SECRET: 피드를 인증하기 위해 생성한 보안 비밀 키입니다.

Atlassian Bitbucket에서 웹훅 만들기

Bitbucket에서 저장소 설정으로 이동합니다.
워크플로에서 Webhooks를 클릭합니다.
웹훅 추가를 클릭합니다.
다음 입력란을 구성합니다.
- 제목: 설명이 포함된 이름을 입력합니다 (예: Google SecOps).
- URL: Google SecOps API 엔드포인트 URL을 입력합니다.
- 상태: 활성으로 설정합니다.
- 트리거: 관련 이벤트를 선택합니다.
저장을 클릭합니다.

UDM 매핑 표

로그 필드	UDM 매핑	논리
`agentComputerName`	`principal.hostname`	`agentRealtimeInfo.agentComputerName`에서 채워집니다.
`agentDetectionInfo.accountId`	`metadata.product_deployment_id`	문자열로 변환됩니다. `agentRealtimeInfo.accountId`가 없는 경우에 사용됩니다.
`agentDetectionInfo.accountName`	`metadata.product_name`	`agentRealtimeInfo.accountName`가 없는 경우에 사용됩니다.
`agentDetectionInfo.agentDomain`	`principal.administrative_domain`	직접 매핑됩니다.
`agentDetectionInfo.agentIpV4`	`target.ip`	JSON 배열에서 추출되어 `target.ip` 필드에 병합됩니다.
`agentDetectionInfo.agentIpV6`	`principal.ip`	JSON 배열에서 추출되어 `principal.ip` 필드에 병합됩니다.
`agentDetectionInfo.agentLastLoggedInUserName`	`principal.user.userid`	파싱하여 사용자 ID 및 도메인 (있는 경우)을 추출합니다. 도메인이 없으면 `principal.user.userid`에 직접 매핑됩니다.
`agentDetectionInfo.agentOsName`	`principal.platform_version`, `principal.asset.platform_software.platform_version`	`agentRealtimeInfo.agentOsName`가 없는 경우에 사용됩니다.
`agentDetectionInfo.agentOsRevision`	`principal.platform_patch_level`, `principal.asset.platform_software.platform_patch_level`	`agentRealtimeInfo.agentOsRevision`가 없는 경우에 사용됩니다.
`agentDetectionInfo.agentRegisteredAt`	`principal.asset.first_discover_time`	ISO8601 타임스탬프로 파싱됩니다.
`agentDetectionInfo.agentUuid`	`principal.asset_id`, `principal.asset.asset_id`	`agentRealtimeInfo.agentUuid`가 없는 경우에 사용됩니다. 접두사는 'agentUuid:'입니다.
`agentDetectionInfo.agentVersion`	`metadata.product_version`	`agentRealtimeInfo.agentVersion`가 없는 경우에 사용됩니다.
`agentDetectionInfo.externalIp`	`target.ip`	직접 매핑됩니다.
`agentDetectionInfo.groupId`	`principal.user.group_identifiers`	비어 있지 않거나 '-'이 아닌 경우 필드에 병합됩니다. `agentRealtimeInfo.groupId`가 없는 경우 사용됩니다.
`agentDetectionInfo.groupName`	`principal.group.group_display_name`	`agentRealtimeInfo.groupName`가 없는 경우에 사용됩니다.
`agentDetectionInfo.siteId`	`additional.fields`	'agentDetectionInfo.siteId' 키와 함께 키-값 쌍으로 추가되었습니다. `agentRealtimeInfo.siteId`가 없는 경우에 사용됩니다.
`agentDetectionInfo.siteName`	`additional.fields`	'agentDetectionInfo.siteName' 키와 함께 키-값 쌍으로 추가되었습니다. `agentRealtimeInfo.siteName`가 없는 경우에 사용됩니다.
`agentRealtimeInfo.accountId`	`metadata.product_deployment_id`	문자열로 변환됩니다.
`agentRealtimeInfo.accountName`	`metadata.product_name`	직접 매핑됩니다.
`agentRealtimeInfo.agentComputerName`	`principal.hostname`, `principal.asset.hostname`	직접 매핑됩니다.
`agentRealtimeInfo.agentId`	`principal.asset_id`, `principal.asset.asset_id`	접두사는 'agentId:'입니다.
`agentRealtimeInfo.agentMachineType`	`principal.asset.category`	직접 매핑됩니다.
`agentRealtimeInfo.agentOsName`	`principal.platform_version`, `principal.asset.platform_software.platform_version`	직접 매핑됩니다.
`agentRealtimeInfo.agentOsRevision`	`principal.platform_patch_level`, `principal.asset.platform_software.platform_patch_level`	직접 매핑됩니다.
`agentRealtimeInfo.agentOsType`	`principal.asset.platform_software.platform`, `principal.platform`	값에 따라 WINDOWS, MAC 또는 LINUX에 매핑됩니다.
`agentRealtimeInfo.agentUuid`	`principal.asset_id`, `principal.asset.asset_id`	직접 매핑됩니다. 접두사는 'agentUuid:'입니다.
`agentRealtimeInfo.agentVersion`	`metadata.product_version`	직접 매핑됩니다.
`agentRealtimeInfo.groupId`	`principal.user.group_identifiers`	비어 있지 않거나 '-'이 아닌 경우 필드에 병합됩니다.
`agentRealtimeInfo.groupName`	`principal.group.group_display_name`	직접 매핑됩니다.
`agentRealtimeInfo.siteId`	`additional.fields`	'agentDetectionInfo.siteId' 키와 함께 키-값 쌍으로 추가되었습니다.
`agentRealtimeInfo.siteName`	`additional.fields`	'agentDetectionInfo.siteName' 키와 함께 키-값 쌍으로 추가되었습니다.
`associatedItems.0.id`	`principal.resource.id`	직접 매핑됩니다.
`associatedItems.0.name`	`principal.resource.name`	직접 매핑됩니다.
`associatedItems.0.typeName`	`principal.resource.resource_subtype`	직접 매핑됩니다.
`authorAccountId`	`principal.user.userid`	직접 매핑됩니다.
`category`	`metadata.product_event_type`	직접 매핑됩니다. '위협'이 포함된 메시지에 '위협'이 없으면 '위협'으로 설정합니다.
`id`	`metadata.product_log_id`	문자열로 변환됩니다.
`indicators.0.description`	`security_result.description`	직접 매핑됩니다.
`objectItem.id`	`additional.fields`	'objectItem.id' 키의 키-값 쌍으로 추가되었습니다.
`objectItem.name`	`additional.fields`	'objectItem.name' 키를 가진 키-값 쌍으로 추가되었습니다.
`objectItem.typeName`	`additional.fields`	'objectItem.typeName' 키를 가진 키-값 쌍으로 추가되었습니다.
`remoteAddress`	`principal.ip`	직접 매핑됩니다.
`summary`	`security_result.summary`	직접 매핑됩니다.
`threatInfo.classification`	`security_result.category_details`	직접 매핑됩니다. `security_result.category`를 결정하는 데도 사용됩니다.
`threatInfo.collectionId`	`metadata.ingestion_labels`	'alert_aggregation_value' 키와 함께 키-값 쌍으로 추가되었습니다.
`threatInfo.confidenceLevel`	`security_result.confidence_details`	직접 매핑됩니다. `security_result.confidence`를 결정하는 데도 사용됩니다.
`threatInfo.createdAt`	`metadata.collected_timestamp`	ISO8601 타임스탬프로 파싱됩니다.
`threatInfo.detectionEngines`	`metadata.ingestion_labels`	각 요소의 `key` 및 `title`가 키-값 쌍으로 추가됩니다.
`threatInfo.fileExtensionType`	`target.process.file.mime_type`	직접 매핑됩니다.
`threatInfo.filePath`	`target.file.full_path`	직접 매핑됩니다.
`threatInfo.fileSize`	`target.file.size`	문자열로 변환된 후 부호 없는 정수로 변환됩니다.
`threatInfo.identifiedAt`	`event_timestamp`	ISO8601 타임스탬프로 파싱됩니다.
`threatInfo.maliciousProcessArguments`	`principal.process.command_line`	직접 매핑됩니다. `summary`가 없는 경우 `security_result.summary` 필드에서도 사용됩니다.
`threatInfo.md5`	`target.file.md5`	직접 매핑됩니다.
`threatInfo.originatorProcess`	`target.process.parent_process.file.full_path`	직접 매핑됩니다. `summary`가 없는 경우 `security_result.summary` 필드에서도 사용됩니다.
`threatInfo.processUser`	`target.user.userid`	직접 매핑됩니다.
`threatInfo.sha1`	`target.file.sha1`	직접 매핑됩니다.
`threatInfo.sha256`	`target.file.sha256`	직접 매핑됩니다.
`threatInfo.storyline`	`principal.process.product_specific_process_id`	'ID:'로 시작합니다.
`threatInfo.threatId`	`security_result.threat_id`	직접 매핑됩니다.
`threatInfo.threatName`	`security_result.threat_name`, `target.file.names`	`target.file.names`에 직접 매핑되고 병합되었습니다. `summary`가 없는 경우 `security_result.summary` 필드에서도 사용됩니다. 처음에는 'GENERIC_EVENT'로 설정합니다. 사용자 및 대상 IP/호스트 이름/사용자의 존재 여부에 따라 'NETWORK_UNCATEGORIZED', 'STATUS_UPDATE' 또는 'USER_UNCATEGORIZED'로 변경되었습니다. `event.type` 필드에서 복사됩니다. 'Atlassian Bitbucket'으로 설정합니다. 처음에는 'Atlassian Bitbucket'으로 설정합니다. `agentRealtimeInfo.accountName` 또는 `agentDetectionInfo.accountName`로 재정의할 수 있습니다.
`timestamp`	`metadata.event_timestamp`, `timestamp`	직접 매핑됩니다.

변경사항

2023-06-12

파서를 새로 만들었습니다.