Cisco Meraki 로그 수집

다음에서 지원:

이 문서에서는 Google Security Operations 전달자를 사용하여 Cisco Meraki 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 CISCO_MERAKI 수집 라벨이 있는 파서에 적용됩니다.

Cisco Meraki 구성

  1. Cisco Meraki 대시보드에 로그인합니다.
  2. Cisco Meraki 대시보드에서 구성 > 알림 및 관리를 선택합니다.
  3. Logging 섹션에서 다음을 수행합니다.
    1. 서버 IP 필드에 Google Security Operations 전달자 IP 주소를 지정합니다.
    2. 포트 필드에 포트 값(예: 514)을 지정합니다.
    3. 역할 필드에서 사용 가능한 4가지 옵션을 선택하여 모든 로그를 가져오거나 요구사항에 따라 조합을 선택합니다.
  4. 변경사항 저장을 클릭합니다.

Cisco Meraki 로그를 수집하도록 Google Security Operations 전달자 및 syslog 구성

  1. SIEM 설정 > 전달자로 이동합니다.
  2. 새 전달자 추가를 클릭합니다.
  3. Forwarder Name(운송업체 이름) 입력란에 운송업체의 고유한 이름을 입력합니다.
  4. 제출을 클릭합니다. 전달자가 추가되고 수집기 구성 추가 창이 표시됩니다.
  5. 수집기 이름 필드에 이름을 입력합니다.
  6. 로그 유형으로 Cisco Meraki를 선택합니다.
  7. 수집기 유형으로 Syslog를 선택합니다.
  8. 다음 필수 입력 매개변수를 구성합니다.
    • 프로토콜: 프로토콜을 지정합니다.
    • 주소: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 IP 주소 또는 호스트 이름을 지정합니다.
    • 포트: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 포트를 지정합니다.
  9. 제출을 클릭합니다.

Google Security Operations 전달자에 대한 자세한 내용은 Google Security Operations 전달자 문서를 참고하세요.

각 전달자 유형의 요구사항은 유형별 전달자 구성을 참고하세요.

전달자를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

필드 매핑 참조

이 파서는 SYSLOG 또는 JSON 형식의 Cisco Meraki (Cisco/Meraki로 식별됨) 로그를 처리하여 UDM으로 정규화합니다. grok 패턴을 사용하여 syslog 메시지와 eventType 필드를 기반으로 하는 조건부 로직을 파싱하여 관련 정보를 추출하고, 네트워크 흐름, URL 요청, 방화벽 이벤트, 일반 이벤트와 같은 다양한 이벤트 유형을 처리하여 적절한 UDM 필드에 매핑하고 추가 컨텍스트로 데이터를 보강합니다. 입력이 syslog가 아닌 경우 JSON으로 파싱하려고 시도하고 관련 필드를 UDM에 매핑합니다.

UDM 매핑 표

로그 필드 UDM 매핑 논리
action security_result.action 값이 대문자로 변환됩니다. 값이 'deny'인 경우 'BLOCK'으로 대체됩니다. sc_action에 '허용'이 포함된 경우 값이 '허용'으로 대체됩니다. 그 외의 경우 decision에 'block'이 포함되면 값이 'BLOCK'으로 대체됩니다. 그 외의 경우 authorization이 'success'이면 'ALLOW'로 설정되고 'failure'이면 'BLOCK'으로 설정됩니다. 그 외의 경우 pattern이 '1 all', 'deny all' 또는 'Group Policy Deny'이면 'BLOCK'으로 설정됩니다. pattern이 'all allow', 'Group Policy Allow' 또는 '0 all'인 경우 'ALLOW'로 설정됩니다. 그렇지 않으면 'UNKNOWN_ACTION'으로 설정됩니다. decision에 'block'이 포함된 경우 'BLOCK'으로 설정됩니다.
adId principal.user.user_display_name JSON 로그의 adId 필드에서 직접 매핑됩니다.
agent network.http.user_agent 아포스트로피가 삭제됩니다. agent 필드에서 직접 매핑됩니다. parseduseragent 필터를 사용하여 network.http.parsed_user_agent로 변환되었습니다.
aid network.session_id aid 필드에서 직접 매핑됩니다.
appProtocol network.application_protocol 대문자로 변환됩니다. appProtocol 필드에서 직접 매핑됩니다.
attr additional.fields additional.fields 배열에 'attr' 키와 함께 키-값 쌍으로 추가되었습니다.
authorization security_result.action_details JSON 로그의 authorization 필드에서 직접 매핑됩니다.
band additional.fields additional.fields 배열에 'band' 키를 사용하여 키-값 쌍으로 추가되었습니다.
bssids.bssid principal.mac 소문자로 변환됩니다. principal.mac 배열에 병합되었습니다.
bssids.detectedBy.device intermediary.asset.asset_id '기기 ID: ' 형식입니다.
bssids.detectedBy.rssi intermediary.asset.product_object_id 문자열로 변환됩니다.
Channel about.resource.attribute.labels about.resource.attribute.labels 배열에 '채널' 키와 함께 키-값 쌍으로 추가되었습니다.
clientDescription additional.fields additional.fields 배열에 'clientDescription' 키를 사용하여 키-값 쌍으로 추가되었습니다.
clientId additional.fields additional.fields 배열에 'clientId' 키와 함께 키-값 쌍으로 추가되었습니다.
clientIp principal.ip, principal.asset.ip clientIp 필드에서 직접 매핑됩니다.
clientMac principal.mac 소문자로 변환됩니다. JSON 로그의 clientMac 필드에서 직접 매핑됩니다.
client_ip principal.ip, principal.asset.ip client_ip 필드에서 직접 매핑됩니다.
client_mac principal.mac 소문자로 변환됩니다. client_mac 필드에서 직접 매핑됩니다.
code additional.fields additional.fields 배열에 'code' 키와 함께 키-값 쌍으로 추가되었습니다.
collection_time metadata.event_timestamp seconds 및 nanos 필드는 결합되어 타임스탬프를 만듭니다.
Conditions security_result.about.resource.attribute.labels 캐리지 리턴, 줄바꿈, 탭은 공백으로 바뀌고 특정 값이 대체됩니다. 수정된 값은 security_result.about.resource.attribute.labels 배열에 'Conditions' 키와 함께 키-값 쌍으로 추가됩니다.
decision security_result.action 값이 '차단됨'인 경우 'BLOCK'으로 설정됩니다.
desc metadata.description desc 필드에서 직접 매핑됩니다.
description security_result.description JSON 로그의 description 필드에서 직접 매핑됩니다.
DestAddress target.ip, target.asset.ip DestAddress 필드에서 직접 매핑됩니다.
DestPort target.port 정수로 변환됩니다. DestPort 필드에서 직접 매핑됩니다.
deviceIp target.ip deviceIp 필드에서 직접 매핑됩니다.
deviceMac target.mac 소문자로 변환됩니다. deviceMac 필드에서 직접 매핑됩니다.
deviceName target.hostname, target.asset.hostname JSON 로그의 deviceName 필드에서 직접 매핑됩니다.
deviceSerial target.asset.hardware.serial_number JSON 로그의 deviceSerial 필드에서 직접 매핑됩니다.
Direction network.direction 특수문자는 삭제되고 값은 network.direction에 매핑됩니다.
DisabledPrivilegeList target.user.attribute 캐리지 리턴, 새 줄, 탭이 대체되고 수정된 값이 JSON으로 파싱되어 target.user.attribute 객체에 병합됩니다.
dport target.port 정수로 변환됩니다. dport 필드에서 직접 매핑됩니다.
dst target.ip, target.asset.ip dst 필드에서 직접 매핑됩니다.
dstIp target.ip, target.asset.ip dstIp 필드에서 직접 매핑됩니다.
dstPort target.port 정수로 변환됩니다. dstPort 필드에서 직접 매핑됩니다.
dvc intermediary.hostname dvc 필드에서 직접 매핑됩니다.
EnabledPrivilegeList target.user.attribute 캐리지 리턴, 새 줄, 탭이 대체되고 수정된 값이 JSON으로 파싱되어 target.user.attribute 객체에 병합됩니다.
eventData.aid principal.asset_id 형식은 'ASSET_ID:'입니다.
eventData.client_ip principal.ip, principal.asset.ip JSON 로그의 eventData.client_ip 필드에서 직접 매핑됩니다.
eventData.client_mac principal.mac 소문자로 변환됩니다. JSON 로그의 eventData.client_mac 필드에서 직접 매핑됩니다.
eventData.group principal.group.group_display_name JSON 로그의 eventData.group 필드에서 직접 매핑됩니다.
eventData.identity principal.hostname JSON 로그의 eventData.identity 필드에서 직접 매핑됩니다.
eventData.ip principal.ip, principal.asset.ip JSON 로그의 eventData.ip 필드에서 직접 매핑됩니다.
EventID metadata.product_event_type, security_result.rule_name 문자열로 변환됩니다. metadata.product_event_type에 매핑됩니다. 'EventID: ' 형식의 security_result.rule_name를 만드는 데도 사용됩니다. event_typesec_action를 결정하는 데 사용됩니다.
eventSummary security_result.summary, metadata.description eventSummary 필드에서 직접 매핑됩니다. 일부 이벤트의 경우 security_result.description에서도 사용됩니다.
eventType metadata.product_event_type eventType 필드에서 직접 매핑됩니다. 적용할 파싱 로직을 결정하는 데 사용됩니다.
filename principal.process.file.full_path filename 필드에서 직접 매핑됩니다.
FilterId target.resource.product_object_id EventID 5447의 FilterId 필드에서 직접 매핑됩니다.
FilterName target.resource.name EventID 5447의 FilterName 필드에서 직접 매핑됩니다.
FilterRTID security_result.detection_fields security_result.detection_fields 배열에 'FilterRTID' 키를 사용하여 키-값 쌍으로 추가되었습니다.
firstSeen security_result.detection_fields 문자열로 변환됩니다. security_result.detection_fields 배열에 'firstSeen' 키를 사용하여 키-값 쌍으로 추가되었습니다.
gatewayDeviceMac target.mac 소문자로 변환됩니다. target.mac 배열에 병합되었습니다.
group additional.fields additional.fields 배열에 'group' 키와 함께 키-값 쌍으로 추가되었습니다.
GroupMembership target.user 캐리지 리턴, 줄바꿈, 탭, 특수문자는 삭제됩니다. 수정된 값은 JSON으로 파싱되고 target.user 객체에 병합됩니다.
Hostname principal.hostname, principal.asset.hostname Hostname 필드에서 직접 매핑됩니다.
identity target.user.userid identity 필드에서 직접 매핑됩니다.
instigator additional.fields additional.fields 배열에 'instigator' 키와 함께 키-값 쌍으로 추가되었습니다.
int_ip intermediary.ip int_ip 필드에서 직접 매핑됩니다.
ip_msg principal.resource.attribute.labels principal.resource.attribute.labels 배열에 'IPs' 키와 함께 키-값 쌍으로 추가되었습니다.
is_8021x additional.fields additional.fields 배열에 'is_8021x' 키를 사용하여 키-값 쌍으로 추가되었습니다.
KeyName target.resource.name KeyName 필드에서 직접 매핑됩니다.
KeyFilePath target.file.full_path KeyFilePath 필드에서 직접 매핑됩니다.
lastSeen security_result.detection_fields 문자열로 변환됩니다. security_result.detection_fields 배열에 'lastSeen' 키를 사용하여 키-값 쌍으로 추가되었습니다.
last_known_client_ip principal.ip, principal.asset.ip last_known_client_ip 필드에서 직접 매핑됩니다.
LayerName security_result.detection_fields security_result.detection_fields 배열에 'Layer Name' 키를 사용하여 키-값 쌍으로 추가되었습니다.
LayerRTID security_result.detection_fields security_result.detection_fields 배열에 'LayerRTID' 키를 사용하여 키-값 쌍으로 추가되었습니다.
localIp principal.ip, principal.asset.ip localIp 필드에서 직접 매핑됩니다.
login principal.user.email_addresses 이메일 주소 형식과 일치하는 경우 JSON 로그의 login 필드에서 직접 매핑됩니다.
LogonGuid additional.fields additional.fields 배열에 'LogonGuid' 키를 사용하여 키-값 쌍으로 추가되었습니다.
LogonType extensions.auth.mechanism 값에 따라 특정 인증 메커니즘에 매핑됩니다. PreAuthType가 있으면 LogonType를 재정의합니다. 값은 다음과 같이 매핑됩니다. 2 -> USERNAME_PASSWORD, 3 -> NETWORK, 4 -> BATCH, 5 -> SERVICE, 7 -> UNLOCK, 8 -> NETWORK_CLEAR_TEXT, 9 -> NEW_CREDENTIALS, 10 -> REMOTE_INTERACTIVE, 11 -> CACHED_INTERACTIVE, 12 -> CACHED_REMOTE_INTERACTIVE, 13 -> CACHED_UNLOCK, 기타 -> MECHANISM_UNSPECIFIED
mac principal.mac 소문자로 변환됩니다. principal.mac 배열에 병합되었습니다.
MandatoryLabel additional.fields additional.fields 배열에 'MandatoryLabel' 키를 사용하여 키-값 쌍으로 추가되었습니다.
Message security_result.description, security_result.summary AccessReason가 있으면 Messagesecurity_result.summary에 매핑되고 AccessReasonsecurity_result.description에 매핑됩니다. 그 외의 경우에는 Messagesecurity_result.description에 매핑됩니다.
method network.http.method method 필드에서 직접 매핑됩니다.
msg security_result.description msg 필드에서 직접 매핑됩니다.
name principal.user.user_display_name JSON 로그의 name 필드에서 직접 매핑됩니다.
natsrcIp principal.nat_ip natsrcIp 필드에서 직접 매핑됩니다.
natsrcport principal.nat_port 정수로 변환됩니다. natsrcport 필드에서 직접 매핑됩니다.
network_id additional.fields additional.fields 배열에 'Network ID' 키와 함께 키-값 쌍으로 추가되었습니다.
NewProcessId target.process.pid NewProcessId 필드에서 직접 매핑됩니다.
NewProcessName target.process.file.full_path NewProcessName 필드에서 직접 매핑됩니다.
NewSd target.resource.attribute.labels target.resource.attribute.labels 배열에 '새 보안 설명자' 키를 사용하여 키-값 쌍으로 추가되었습니다.
occurredAt metadata.event_timestamp ISO8601 형식을 사용하여 타임스탬프로 파싱됩니다.
ObjectName target.file.full_path, target.registry.registry_key, target.process.file.full_path, additional.fields EventID이 4663이고 ObjectType이 'Process'인 경우 target.process.file.full_path에 매핑됩니다. ObjectType가 'Key'인 경우 target.registry.registry_key에 매핑됩니다. 그렇지 않으면 target.file.full_path에 매핑됩니다. 다른 이벤트의 경우 additional.fields 배열에 'ObjectName' 키와 함께 키-값 쌍으로 추가됩니다.
ObjectType additional.fields additional.fields 배열에 'ObjectType' 키와 함께 키-값 쌍으로 추가되었습니다. event_type를 결정하는 데 사용됩니다.
OldSd target.resource.attribute.labels target.resource.attribute.labels 배열에 '원래 보안 설명자' 키를 사용하여 키-값 쌍으로 추가되었습니다.
organizationId principal.resource.id JSON 로그의 organizationId 필드에서 직접 매핑됩니다.
ParentProcessName target.process.parent_process.file.full_path ParentProcessName 필드에서 직접 매핑됩니다.
pattern security_result.description security_result.description에 직접 매핑됩니다. security_result.action를 결정하는 데 사용됩니다.
peer_ident target.user.userid peer_ident 필드에서 직접 매핑됩니다.
PreAuthType extensions.auth.mechanism 인증 메커니즘이 있는지 확인하는 데 사용됩니다. LogonType를 재정의합니다.
principalIp principal.ip, principal.asset.ip principalIp 필드에서 직접 매핑됩니다.
principalMac principal.mac 소문자로 변환됩니다. principal.mac 배열에 병합되었습니다.
principalPort principal.port 정수로 변환됩니다. principalPort 필드에서 직접 매핑됩니다.
prin_ip2 principal.ip, principal.asset.ip prin_ip2 필드에서 직접 매핑됩니다.
prin_url principal.url prin_url 필드에서 직접 매핑됩니다.
priority security_result.priority 값에 따라 우선순위 수준에 매핑됩니다. 1 -> HIGH_PRIORITY, 2 -> MEDIUM_PRIORITY, 3 -> LOW_PRIORITY, 기타 -> UNKNOWN_PRIORITY
ProcessID principal.process.pid 문자열로 변환됩니다. ProcessID 필드에서 직접 매핑됩니다.
ProcessName principal.process.file.full_path, target.process.file.full_path EventID가 4689이면 target.process.file.full_path에 매핑됩니다. 그렇지 않으면 principal.process.file.full_path에 매핑됩니다.
prod_log_id metadata.product_log_id prod_log_id 필드에서 직접 매핑됩니다.
protocol network.ip_protocol 대문자로 변환됩니다. 숫자인 경우 해당하는 IP 프로토콜 이름으로 변환됩니다. 'ICMP6'인 경우 'ICMP'로 대체됩니다. protocol 필드에서 직접 매핑됩니다.
ProviderGuid metadata.product_deployment_id ProviderGuid 필드에서 직접 매핑됩니다.
query network.dns.questions.name query 필드에서 직접 매핑됩니다.
query_type network.dns.questions.type 이름을 question.type로 변경하고 network.dns.questions 배열에 병합했습니다. DHCP 쿼리 유형에 따라 숫자 값에 매핑됩니다.
radio additional.fields additional.fields 배열에 'radio' 키를 사용하여 키-값 쌍으로 추가되었습니다.
reason additional.fields additional.fields 배열에 'reason' 키를 사용하여 키-값 쌍으로 추가되었습니다.
rec_bytes network.received_bytes 부호 없는 정수로 변환됩니다. rec_bytes 필드에서 직접 매핑됩니다.
RecordNumber metadata.product_log_id 문자열로 변환됩니다. RecordNumber 필드에서 직접 매핑됩니다.
RelativeTargetName target.process.file.full_path RelativeTargetName 필드에서 직접 매핑됩니다.
response_ip principal.ip, principal.asset.ip response_ip 필드에서 직접 매핑됩니다.
rssi intermediary.asset.product_object_id rssi 필드에서 직접 매핑됩니다.
sc_action security_result.action_details sc_action 필드에서 직접 매핑됩니다.
sec_action security_result.action security_result.action 배열에 병합되었습니다.
server_ip client_ip client_ip 필드에 직접 매핑됩니다.
Severity security_result.severity 값에 따라 심각도 수준에 매핑됩니다. '정보' -> INFORMATIONAL, '오류' -> ERROR, '경고' -> MEDIUM, 기타 -> UNKNOWN_SEVERITY
sha256 target.file.sha256 sha256 필드에서 직접 매핑됩니다.
signature additional.fields additional.fields 배열에 'signature' 키를 사용하여 키-값 쌍으로 추가되었습니다.
SourceAddress principal.ip, principal.asset.ip SourceAddress 필드에서 직접 매핑됩니다.
SourceHandleId src.resource.id SourceHandleId 필드에서 직접 매핑됩니다.
SourceModuleName observer.labels observer.labels 배열에 'SourceModuleName' 키를 사용하여 키-값 쌍으로 추가되었습니다.
SourceModuleType observer.application SourceModuleType 필드에서 직접 매핑됩니다.
SourcePort principal.port 정수로 변환됩니다. SourcePort 필드에서 직접 매핑됩니다.
SourceProcessId src.process.pid SourceProcessId 필드에서 직접 매핑됩니다.
source_client_ip client_ip client_ip 필드에 직접 매핑됩니다.
sport principal.port 정수로 변환됩니다. sport 필드에서 직접 매핑됩니다.
src principal.ip, principal.asset.ip src 필드에서 직접 매핑됩니다.
ssid network.session_id JSON 로그의 ssid 필드에서 직접 매핑됩니다.
ssidName additional.fields additional.fields 배열에 'ssidName' 키와 함께 키-값 쌍으로 추가되었습니다.
state additional.fields additional.fields 배열에 'state' 키를 사용하여 키-값 쌍으로 추가되었습니다.
Status additional.fields additional.fields 배열에 'Status' 키를 사용하여 키-값 쌍으로 추가되었습니다.
status_code network.http.response_code 정수로 변환됩니다. status_code 필드에서 직접 매핑됩니다.
SubjectDomainName principal.administrative_domain SubjectDomainName 필드에서 직접 매핑됩니다.
SubjectLogonId principal.resource.attribute.labels principal.resource.attribute.labels 배열에 'SubjectLogonId' 키로 키-값 쌍으로 추가되었습니다.
SubjectUserName principal.user.userid SubjectUserName 필드에서 직접 매핑됩니다.
SubjectUserSid principal.user.windows_sid SubjectUserSid 필드에서 직접 매핑됩니다.
targetHost target.hostname, target.asset.hostname 가능한 경우 IP 주소로 변환됩니다. 그 외의 경우 호스트 이름을 추출하도록 파싱되고 target.hostnametarget.asset.hostname에 매핑됩니다.
TargetHandleId target.resource.id TargetHandleId 필드에서 직접 매핑됩니다.
TargetLogonId principal.resource.attribute.labels SubjectLogonId과 다른 경우 principal.resource.attribute.labels 배열에 'TargetLogonId' 키로 키-값 쌍으로 추가되었습니다.
TargetProcessId target.process.pid TargetProcessId 필드에서 직접 매핑됩니다.
TargetUserName target.user.userid TargetUserName 필드에서 직접 매핑됩니다.
TargetUserSid target.user.windows_sid TargetUserSid 필드에서 직접 매핑됩니다.
Task additional.fields 문자열로 변환됩니다. additional.fields 배열에 'Task' 키와 함께 키-값 쌍으로 추가되었습니다.
timestamp metadata.event_timestamp seconds 필드는 타임스탬프를 만드는 데 사용됩니다.
ts metadata.event_timestamp ts가 비어 있으면 tsDate, tsTime, tsTZ을 결합하여 생성됩니다. ''이 포함된 경우 정수 값을 추출하기 위해 파싱됩니다. 그런 다음 다양한 형식을 사용하여 타임스탬프로 파싱됩니다.
type security_result.summary, metadata.product_event_type JSON 로그의 type 필드에서 직접 매핑됩니다. 경우에 따라 eventSummarymetadata.product_event_type로 사용되기도 합니다.
url target.url, principal.url url 필드에서 직접 매핑됩니다.
url1 target.url url1 필드에서 직접 매핑됩니다.
user target.user.group_identifiers target.user.group_identifiers 배열에 병합되었습니다.
user_id target.user.userid user_id 필드에서 직접 매핑됩니다.
UserID principal.user.windows_sid UserID 필드에서 직접 매핑됩니다.
UserName principal.user.userid UserName 필드에서 직접 매핑됩니다.
user_agent network.http.user_agent user_agent 필드에서 직접 매핑됩니다.
userId target.user.userid userId 필드에서 직접 매핑됩니다.
vap additional.fields additional.fields 배열에 'vap' 키와 함께 키-값 쌍으로 추가되었습니다.
VirtualAccount security_result.about.labels security_result.about.labels 배열에 'VirtualAccount' 키를 사용하여 키-값 쌍으로 추가되었습니다.
wiredLastSeen security_result.detection_fields 문자열로 변환됩니다. security_result.detection_fields 배열에 'wiredLastSeen' 키를 사용하여 키-값 쌍으로 추가되었습니다.
wiredMacs intermediary.mac 소문자로 변환됩니다. intermediary.mac 배열에 병합되었습니다.
WorkstationName principal.hostname, principal.asset.hostname WorkstationName 필드에서 직접 매핑됩니다.

변경사항

2024-03-19

  • 발신 기기 IP 주소를 'intermediary.ip'에 매핑하는 Grok 패턴이 추가되었습니다.

2024-02-06

  • 'eventSummary'가 'cli_set_rad_parms' 또는 'cli_set_rad_pmksa_parms'인 로그를 파싱했습니다.
  • 'group' 및 'attr'이 'additional.fields'에 매핑되었습니다.

2023-12-26

  • 'eventSummary'가 'status changed' 및 'changed STP role'로 포함된 로그를 파싱했습니다.

2023-10-09

  • '패턴'이 '1 all', 'deny all' 또는 'Group Policy Deny'인 경우 'sec_res.action'을 'BLOCK'으로 설정합니다.
  • '패턴'이 '0 all', 'allow all' 또는 'Group Policy Allow'인 경우 'sec_res.action'을 'ALLOW'로 설정합니다.

2023-07-19

  • 버그 수정 -
  • '방화벽' 유형의 파싱되지 않은 syslog 로그를 파싱했습니다.

2023-07-14

  • 개선 -
  • 'splash_auth' 유형의 경우 'event_type'이 'USER_LOGIN'에 매핑되었습니다.
  • 'device_packet_flood' 유형의 경우 'packet_flood'가 'event_type'을 'GENERIC_EVENT'에 매핑했습니다.
  • 'vpn_connectivity_change', 'wpa_deauth', 'wpa_auth' 유형의 경우 'event_type'이 'STATUS_UPDATE'에 매핑되었습니다.
  • 'agent'가 'network.http.parsed_user_agent'에 매핑되었습니다.
  • 'protocol'이 '47'이면 'network.ip_protocol'이 'GRE'에 매핑되었습니다.
  • 'protocol'이 '103'이면 'network.ip_protocol'이 'PIM'에 매핑되었습니다.

2023-07-04

  • 개선 -
  • Grok 패턴 대신 키-값 필터를 사용하여 'urls', 'firewall', 'vpn_firewall' 유형의 로그를 파싱했습니다.

2023-06-16

  • 개선 -
  • 'src'가 'principal.ip'에 매핑되었습니다.
  • 'dst'가 'target.ip'에 매핑되었습니다.
  • 'protocol'이 'network.ip_protocol'에 매핑됨
  • 'sport'가 'principal.port'에 매핑되었습니다.
  • 'dport'가 'target.port'에 매핑되었습니다.
  • 'mac'이 'principal.mac'에 매핑되었습니다.
  • 'pattern'이 'security_result.description'에 매핑되었습니다.

2023-06-09

  • 개선 -
  • 'type' = '8021x_deauth'인 경우 'metadata.event_type'을 'USER_LOGOUT'에 매핑했습니다.
  • 'type' = 'disassociation'의 경우 'radio','vap','reason','is_8021x','instigator','band'를 'additional.fields'에 매핑했습니다.

2023-05-26

  • 개선 -
  • 'security_filtering_file_scanned' 유형의 경우 'metadata.event_type'을 'STATUS_UPDATE'에서 'SCAN_FILE'로 수정했습니다.
  • syslog 로그를 파싱하는 Grok 패턴을 추가했습니다.
  • 'ip'가 'principal.ip'에 매핑되었습니다.
  • 'mac'이 'principal.mac'에 매핑되었습니다.

2023-03-03

  • 개선 -
  • 'ip_flow_end' 필드가 있는 로그를 파싱하는 Grok 패턴을 추가했습니다.
  • 'natsrcIp'가 'principal.nat_ip'에 매핑되었습니다.
  • 'natsrcport'가 'principal.nat_port'에 매핑되었습니다.

2022-11-25

  • 개선 -
  • 파싱되지 않은 JSON 로그, network_dns 쿼리 로그, 실패한 syslog+kv_data 로그에 대한 지원이 추가되었습니다.
  • 'metadata.eventType'을 RESOURCE_CREATION, FILE_UNCATEGORIZED, SETTING_MODIFICATION, NETWORK_UNCATEGORIZED,
  • 그룹_분류되지 않음, 프로세스_실행, 프로세스_종료, 상태_분류되지 않음, 시스템_감사_로그_분류되지 않음,
  • json 로그의 'EventID'를 기반으로 USER_LOGOUT, USER_LOGIN, RESOURCE_PERMISSIONS_CHANGE, USER_RESOURCE_ACCESS
  • 'DisabledPrivilegeList', 'EnabledPrivilegeList'가 'target.user.attribute.permissions'에 매핑되었습니다.
  • 'GroupMembership'이 'target.user.group_identifiers'에 매핑되었습니다.
  • 'AccessList'가 'target.resource.attribute'에 매핑되었습니다.
  • 'auth_mechanism'이 'extensions.auth.mechanism'에 매핑되었습니다.
  • 'question'이 'network.dns.questions'에 매핑되었습니다.
  • 'priority' 값을 기반으로 'security_result.priority'를 설정합니다.
  • 'RecordNumber'가 'metadata.product_log_id'에 매핑되었습니다.

2022-10-06

  • 개선 -
  • 'dvc'가 'intermediary.hostname'에 매핑되었습니다.
  • 'eventType'이 'metadata.product_event_type'에 매핑되었습니다.
  • 'pattren'이 'security_result.action_details'에 매핑되었습니다.
  • 'principalMac'이 'principal.mac'에 매핑되었습니다.
  • 'principalIp'가 'principal.ip'에 매핑되었습니다.
  • udm에 매핑하기 전에 'dstIp'에 대한 null 검사를 추가했습니다.

2022-07-04

  • 개선 -
  • 'protocol'이 '47'과(와) 같으면 'protocol'을 'GRE'로 설정합니다.
  • 'protocol'이 '50'과(와) 같으면 'protocol'을 'ESP'로 설정합니다.
  • 'eventType'이 'events'와 같은 경우 kv 블록을 추가했습니다.
  • 'identity'가 'target.user.userid'에 매핑되었습니다.
  • 'last_known_client_ip'가 'principal.ip'에 매핑되었습니다.
  • 'eventSummary'가 'association'과(와) 일치하는 경우
  • 'client_ip'가 'principal.ip'에 매핑되었습니다.
  • 'client_mac'이 'principal.mac'에 매핑되었습니다.
  • 'rssi'가 'intermediary.asset.product_object_id'에 매핑되었습니다.
  • 'channel'이 'security_result.detection_fields'에 매핑되었습니다.
  • 'aid'가 'network.session_id'에 매핑되었습니다.

2022-06-15

  • 개선 -
  • 'lastSeen', 'firstSeen', 'wiredLastSeen'이 'security_result.detection_fields'에 매핑되었습니다.
  • 'wiredMacs'가 'intermediary.mac'에 매핑되었습니다.
  • 'type'이 'security_result.summary'에 매핑되었습니다.
  • 'description'이 'security_result.description'에 매핑되었습니다.
  • 'deviceSerial'이 '_target_hardware.serial_number'에 매핑되었습니다.
  • 'deviceName'이 'target.hostname'에 매핑되었습니다.
  • 'ssidName', 'clientId', 'clientDescription'이 'additional.fields'에 매핑되었습니다.
  • 'eventData.client_mac'이 'principal.mac'에 매핑되었습니다.
  • 'eventData.identity'가 'principal.hostname'에 매핑되었습니다.
  • 'eventData.aid'가 'principal.asset_id'에 매핑되었습니다.
  • 'organizationId'가 'principal.resource.id'에 매핑되었습니다.
  • 'eventData.group'이 'principal.group.group_display_name'에 매핑되었습니다.
  • 'eventData.client_ip'가 'principal.ip'에 매핑되었습니다.
  • 'occurredAt'이 'metadata.event_timestamp'에 매핑되었습니다.

2022-05-04

  • 개선사항 - 호스트 이름에 대한 매핑이 추가되었습니다.

2022-04-13

  • 개선사항 - JSON 유형의 로그 파싱이 추가되었습니다.