BeyondTrust 원격 지원 로그 수집

다음에서 지원:

이 파서는 BeyondTrust 원격 지원의 syslog 메시지를 처리하여 UDM 형식으로 변환합니다. CEF 및 CEF가 아닌 형식의 로그를 모두 처리하여 필드를 추출하고, 데이터 변환을 실행하고, 이를 사용자, 대상, 보안 결과 세부정보를 비롯한 적절한 UDM 필드에 매핑합니다.

시작하기 전에

  • Google Security Operations 인스턴스가 있는지 확인합니다.
  • Windows 2016 이상 또는 systemd가 있는 Linux 호스트를 사용하고 있는지 확인합니다.
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.

Google SecOps 처리 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 처리 인증 파일을 다운로드합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

  1. Windows 설치의 경우 다음 스크립트를 실행합니다.
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Linux 설치의 경우 다음 스크립트를 실행합니다.
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. 추가 설치 옵션은 이 설치 가이드에서 확인할 수 있습니다.

Syslog를 수집하고 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. Bindplane가 설치된 머신에 액세스합니다.

  2. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: BeyondTrust_Remote_Support
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Bindplane 에이전트를 다시 시작하여 변경사항을 적용합니다.

    sudo systemctl restart bindplane

BeyondTrust 원격 지원에서 syslog 내보내기 구성

  1. BeyondTrust 원격 지원에 로그인합니다.
  2. 보안 > 어플라이언스 관리로 이동합니다.
  3. Syslog 섹션으로 이동하여 다음 값을 설정합니다.
    • 원격 Syslog 서버: syslog 호스트 서버 (Bindplane)의 호스트 이름 또는 IP 주소를 입력합니다. 이 입력란에 최대 3개의 syslog 서버를 추가할 수 있습니다.
    • 메시지 형식: RFC 5424를 선택합니다.
    • 포트: syslog 호스트 서버 (Bindplane)의 포트를 입력합니다.
  4. 제출을 클릭합니다.

UDM 매핑

로그 필드 UDM 매핑 논리
account:expiration read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'account:expiration' 필드에서 가져옵니다.
account:email:locale read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'account:email:locale' 필드에서 가져옵니다.
command_shell_is_whitelist read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'ssions:command_shell_is_whitelist' 필드에서 가져옵니다.
datetime read_only_udm.metadata.event_timestamp.seconds 이 값은 원시 로그의 'datetime' 필드에서 파싱되어 Unix 타임스탬프로 변환됩니다.
dtPostTime read_only_udm.metadata.event_timestamp.seconds 이 값은 원시 로그의 'dtPostTime' 필드에서 파싱되고 Unix 타임스탬프로 변환됩니다.
이벤트 read_only_udm.metadata.product_event_type 이 값은 원시 로그의 'event' 필드에서 가져옵니다.
호스트 read_only_udm.principal.hostname 이 값은 원시 로그의 'host' 필드에서 가져옵니다.
id read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'id' 필드에서 가져옵니다.
license_pool:id read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'license_pool:id' 필드에서 가져옵니다.
login_schedule:timezone read_only_udm.target.location.country_or_region 이 값은 원시 로그의 'login_schedule:timezone' 필드에서 가져옵니다.
old_account:email:address read_only_udm.target.user.email_addresses 이 값은 원시 로그의 'old_account:email:address' 필드에서 가져옵니다.
old_account:failed_logins read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_account:failed_logins' 필드에서 가져옵니다.
old_display_number read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_display_number' 필드에서 가져옵니다.
old_login_schedule:timezone read_only_udm.target.location.country_or_region 이 값은 원시 로그의 'old_login_schedule:timezone' 필드에서 가져옵니다.
old_permissions:api:reporting read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:api:reporting' 필드에서 가져옵니다.
old_permissions:jump_item_role:default:id read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:jump_item_role:default:id' 필드에서 가져옵니다.
old_permissions:jump_item_role:default:name read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:jump_item_role:default:name' 필드에서 가져옵니다.
old_permissions:jump_item_role:teams:id read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:jump_item_role:teams:id' 필드에서 가져옵니다.
old_permissions:jump_item_role:teams:name read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:jump_item_role:teams:name' 필드에서 가져옵니다.
old_permissions:presentations:control:status read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:presentations:control:status' 필드에서 가져옵니다.
old_permissions:public_sites:templates:status read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:public_sites:templates:status' 필드에서 가져옵니다.
old_permissions:reporting:presentation_reports read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:reporting:presentation_reports' 필드에서 가져옵니다.
old_permissions:reporting:support_reports read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:reporting:support_reports' 필드에서 가져옵니다.
old_permissions:reporting:vault_reports read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:reporting:vault_reports' 필드에서 가져옵니다.
old_permissions:support read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support' 필드에서 가져옵니다.
old_permissions:support:accept_team_sessions:status read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:accept_team_sessions:status' 필드에서 가져옵니다.
old_permissions:support:bomgar_button:change_public_sites:status read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:bomgar_button:change_public_sites:status' 필드에서 가져옵니다.
old_permissions:support:bomgar_button:personal:deploy:status read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:bomgar_button:personal:deploy:status' 필드에서 가져옵니다.
old_permissions:support:bomgar_button:team:manage read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:bomgar_button:team:manage' 필드에서 가져옵니다.
old_permissions:support:bomgar_button:team:manage:status read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:bomgar_button:team:manage:status' 필드에서 가져옵니다.
old_permissions:support:ios_content read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:ios_content' 필드에서 가져옵니다.
old_permissions:support:jump:local read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:jump:local' 필드에서 가져옵니다.
old_permissions:support:jump:local:status read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:jump:local:status' 필드에서 가져옵니다.
old_permissions:support:jump:remote read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:jump:remote' 필드에서 가져옵니다.
old_permissions:support:jump:remote:status read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:jump:remote:status' 필드에서 가져옵니다.
old_permissions:support:rdp:local read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:rdp:local' 필드에서 가져옵니다.
old_permissions:support:rdp:local:status read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:rdp:local:status' 필드에서 가져옵니다.
old_permissions:support:rdp:remote read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:rdp:remote' 필드에서 가져옵니다.
old_permissions:support:rdp:remote:status read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:rdp:remote:status' 필드에서 가져옵니다.
old_permissions:support:session_assignment:idle_timeout read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:session_assignment:idle_timeout' 필드에서 가져옵니다.
old_permissions:support:session_assignment:idle_timeout:status read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:session_assignment:idle_timeout:status' 필드에서 가져옵니다.
old_permissions:support:session_assignment:session_limit read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:session_assignment:session_limit' 필드에서 가져옵니다.
old_permissions:support:session_assignment:session_limit:status=forbid_override read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:session_assignment:session_limit:status=forbid_override' 필드에서 가져옵니다.
old_permissions:support:session_keys read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:session_keys' 필드에서 가져옵니다.
old_permissions:support:status read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:status' 필드에서 가져옵니다.
old_permissions:support:team_share read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:team_share' 필드에서 가져옵니다.
old_permissions:support:team_transfer read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:team_transfer' 필드에서 가져옵니다.
old_permissions:support:vnc:local read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:vnc:local' 필드에서 가져옵니다.
old_permissions:support:vnc:local:status read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:vnc:local:status' 필드에서 가져옵니다.
old_permissions:support:vnc:remote read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:vnc:remote' 필드에서 가져옵니다.
old_permissions:support:vnc:remote:status read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_permissions:support:vnc:remote:status' 필드에서 가져옵니다.
old_private_display_name read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_private_display_name' 필드에서 가져옵니다.
old_provider:id read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_provider:id' 필드에서 가져옵니다.
old_provider:name read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'old_provider:name' 필드에서 가져옵니다.
permissions:jump_item_role:default:id read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'permissions:jump_item_role:default:id' 필드에서 가져옵니다.
permissions:jump_item_role:default:name read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'permissions:jump_item_role:default:name' 필드에서 가져옵니다.
permissions:jump_item_role:teams:id read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'permissions:jump_item_role:teams:id' 필드에서 가져옵니다.
permissions:jump_item_role:teams:name read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'permissions:jump_item_role:teams:name' 필드에서 가져옵니다.
provider:id read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'provider:id' 필드에서 가져옵니다.
provider:name read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'provider:name' 필드에서 가져옵니다.
reason read_only_udm.security_result.description 이 값은 원시 로그의 'reason' 필드에서 가져와 ' - Reason:' 접두사로 설명 필드에 추가됩니다.
sEventID read_only_udm.metadata.product_event_type 이 값은 원시 로그의 'sEventID' 필드에서 가져옵니다.
sIpAddress read_only_udm.principal.ip 이 값은 원시 로그의 'sIpAddress' 필드에서 가져옵니다.
sLoginName read_only_udm.principal.user.userid 이 값은 원시 로그의 'sLoginName' 필드에서 파싱됩니다. 필드에 도메인이 포함된 경우 도메인이 추출되어 read_only_udm.principal.namespace에 매핑됩니다.
sMessage read_only_udm.security_result.description 이 값은 원시 로그의 'sMessage' 필드에서 가져옵니다. 파서는 따옴표 안의 텍스트를 추출하여 설명 필드에 매핑합니다.
sOriginatingAccount read_only_udm.principal.user.userid 이 값은 원시 로그의 'sOriginatingAccount' 필드에서 파싱됩니다. 필드에 도메인이 포함된 경우 도메인이 추출되어 read_only_udm.principal.namespace에 매핑됩니다.
sOriginatingApplicationComponent read_only_udm.principal.application 이 값은 원시 로그의 'sOriginatingApplicationComponent' 필드에서 가져와 sOriginatingApplicationName의 값 뒤에 괄호 안의 애플리케이션 필드에 추가됩니다.
sOriginatingApplicationName read_only_udm.principal.application 이 값은 원시 로그의 'sOriginatingApplicationName' 필드에서 가져옵니다.
sOriginatingSystem read_only_udm.principal.hostname 이 값은 원시 로그의 'sOriginatingSystem' 필드에서 가져옵니다.
session_policy:id read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'session_policy:id' 필드에서 가져옵니다.
session_policy:name read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'session_policy:name' 필드에서 가져옵니다.
session_policy:purpose read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'session_policy:purpose' 필드에서 가져옵니다.
사이트 read_only_udm.target.hostname 이 값은 원시 로그의 '사이트' 필드에서 가져옵니다.
상태 read_only_udm.security_result.summary 이 값은 원시 로그의 '상태' 필드에서 가져와 요약 필드에 추가됩니다.
support:jump:local read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:jump:local' 필드에서 가져옵니다.
support:permissions:allow_pinned_clients read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:allow_pinned_clients' 필드에서 가져옵니다.
support:permissions:allow_users read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:allow_users' 필드에서 가져옵니다.
support:permissions:canned_scripts read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:canned_scripts' 필드에서 가져옵니다.
support:permissions:chat read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:chat' 필드에서 가져옵니다.
support:permissions:chat:push_url read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:chat:push_url' 필드에서 가져옵니다.
support:permissions:chat:send_file read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:chat:send_file' 필드에서 가져옵니다.
support:permissions:command_shell read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:command_shell' 필드에서 가져옵니다.
support:permissions:deploy_callback_button read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:deploy_callback_button' 필드에서 가져옵니다.
support:permissions:elevation read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:elevation' 필드에서 가져옵니다.
support:permissions:file_transfers:cust read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:file_transfers:cust' 필드에서 가져옵니다.
support:permissions:file_transfers:download read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:file_transfers:download' 필드에서 가져옵니다.
support:permissions:file_transfers:rep read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:file_transfers:rep' 필드에서 가져옵니다.
support:permissions:file_transfers:upload read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:file_transfers:upload' 필드에서 가져옵니다.
support:permissions:registry_access read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:registry_access' 필드에서 가져옵니다.
support:permissions:request_pin_unpin read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:request_pin_unpin' 필드에서 가져옵니다.
support:permissions:screen_sharing read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:screen_sharing' 필드에서 가져옵니다.
support:permissions:screen_sharing:allow_elevated_tools read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:screen_sharing:allow_elevated_tools' 필드에서 가져옵니다.
support:permissions:screen_sharing:annotations read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:screen_sharing:annotations' 필드에서 가져옵니다.
support:permissions:screen_sharing:application_restriction read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:screen_sharing:application_restriction' 필드에서 가져옵니다.
support:permissions:screen_sharing:application_sharing read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:screen_sharing:application_sharing' 필드에서 가져옵니다.
support:permissions:screen_sharing:clipboard_direction read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:screen_sharing:clipboard_direction' 필드에서 가져옵니다.
support:permissions:screen_sharing:cobrowse read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:screen_sharing:cobrowse' 필드에서 가져옵니다.
support:permissions:screen_sharing:privacy_mode read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:screen_sharing:privacy_mode' 필드에서 가져옵니다.
support:permissions:screen_sharing:show_screen read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:screen_sharing:show_screen' 필드에서 가져옵니다.
support:permissions:system_info read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:system_info' 필드에서 가져옵니다.
support:permissions:system_info:actions read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:permissions:system_info:actions' 필드에서 가져옵니다.
support:prompting:command_shell read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:prompting:command_shell' 필드에서 가져옵니다.
support:prompting:default read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:prompting:default' 필드에서 가져옵니다.
support:prompting:deploy_callback_button read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:prompting:deploy_callback_button' 필드에서 가져옵니다.
support:prompting:elevate read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:prompting:elevate' 필드에서 가져옵니다.
support:prompting:file_transfer read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:prompting:file_transfer' 필드에서 가져옵니다.
support:prompting:registry read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:prompting:registry' 필드에서 가져옵니다.
support:prompting:screen_sharing:cobrowse read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:prompting:screen_sharing:cobrowse' 필드에서 가져옵니다.
support:prompting:screen_sharing:full_access read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'support:prompting:screen_sharing:full_access' 필드에서 가져옵니다.
target read_only_udm.target.application 이 값은 원시 로그의 '타겟' 필드에서 가져옵니다. 파서는 'rep_client'를 'Representative Console'로, 'web/login'을 'Web/Login'으로 대체합니다.
two_factor_auth:app read_only_udm.principal.user.attribute.labels.value 이 값은 원시 로그의 'two_factor_auth:app' 필드에서 가져옵니다.
when read_only_udm.metadata.product_log_id 이 값은 원시 로그의 'when' 필드에서 가져옵니다.
when read_only_udm.metadata.event_timestamp.seconds 이 값은 원시 로그의 'when' 필드에서 파싱되어 Unix 타임스탬프로 변환됩니다.
누가 read_only_udm.principal.user.userid 이 값은 원시 로그의 'who' 필드에서 파싱됩니다. 파서는 괄호 안의 텍스트를 추출합니다.
누가 read_only_udm.principal.user.user_display_name 이 값은 원시 로그의 'who' 필드에서 파싱됩니다. 파서는 괄호 앞에 있는 텍스트를 추출합니다.
who_ip read_only_udm.principal.ip 이 값은 원시 로그의 'who_ip' 필드에서 가져옵니다.
read_only_udm.metadata.vendor_name 값은 파서에 의해 'BeyondTrust'로 설정됩니다.
read_only_udm.metadata.product_name 이 값은 파서에 의해 'BeyondTrust Remote Support'로 설정됩니다.
read_only_udm.metadata.log_type 이 값은 파서에 의해 'BOMGAR'로 설정됩니다.
read_only_udm.extensions.auth.type 타겟이 'rep_client'인 경우 값은 'MACHINE'으로, 타겟이 'web/login'인 경우 'SSO'로, 그 외의 경우 'AUTHTYPE_UNSPECIFIED'로 파서에 의해 설정됩니다.
read_only_udm.extensions.auth.mechanism 값은 메서드가 'using password'인 경우 'USERNAME_PASSWORD'로, 'using elevate'인 경우 'REMOTE'로 설정되고, 그 외의 경우에는 파서에 의해 비워집니다.
read_only_udm.security_result.action 상태가 '실패'가 아니고, 이유가 '실패' 또는 '사용자를 찾을 수 없음'이 아니며, sMessage에 '웹 앱 로그인 실패'가 포함되지 않은 경우 값은 '허용'으로 설정됩니다. 그 외에는 파서에 의해 값이 'BLOCK'으로 설정됩니다.
read_only_udm.security_result.summary 값은 eventName에 따라 'User login' 또는 'User logout'으로 설정되며, 파서에 의해 비어 있지 않은 경우 상태가 뒤에 옵니다.
read_only_udm.security_result.description 값은 '사용자'로 설정되며 그 뒤에 사용자 ID, IP 주소, 상태, 이벤트 이름, 커넥터(로그인의 경우 'to', 로그아웃의 경우 'from'), 타겟, 메서드가 표시됩니다. 이유가 비어 있지 않고 '실패'가 아닌 경우 파서에 의해 ' - Reason:' 접두사로 설명에 추가됩니다.

변경사항

2024-01-12

  • 'challenge' 상태 이벤트 처리가 개선되었습니다.
  • 정확성을 높이기 위해 이메일 주소 매핑이 개선되었습니다.

2022-11-24

  • 표시 이름, ID, 메서드와 같은 사용자 정보를 파싱하는 버그를 수정했습니다.
  • 사용자 로그인 이벤트의 인증 유형 분류 정확성이 개선되었습니다.

2022-10-13

  • 더 광범위한 적용성을 위해 고객별 파서를 기본 파서에 통합했습니다.

2022-09-26

  • 더 광범위한 적용성을 위해 고객별 파서를 기본 파서에 통합했습니다.

2022-08-19

  • 유지보수성과 성능을 개선하기 위해 커스텀 파서를 기본 파서로 통합했습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받으세요.