이 페이지는 Cloud Translation API를 통해 번역되었습니다.

General Dynamics Fidelis XPS 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Google Security Operations 전달자를 사용하여 General Dynamics Fidelis XPS 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집 개요를 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 FIDELIS_NETWORK 수집 라벨이 있는 파서에 적용됩니다.

General Dynamics Fidelis XPS 구성

CommandPost에 로그인하여 Fidelis XPS 어플라이언스를 관리합니다.
시스템 > 내보내기를 선택합니다.
새로 만들기 탭을 클릭합니다.
내보내기 방법 목록에서 ArcSight를 선택합니다.
대상 필드에 Google Security Operations 전달자 서버 IP 주소와 포트 번호(예: 514)를 입력합니다.
알림 내보내기 섹션에서 모두 체크박스를 선택합니다.
내보내기 빈도 섹션에서 모든 알림 체크박스를 선택합니다.
전송 섹션에서 UDP 또는 TCP 체크박스를 선택합니다.
다른 이름으로 저장 필드에 내보내기 구성의 이름을 입력합니다.
열 목록 상자에서 열 목록의 항목을 다음 순서로 표시되도록 이동합니다.
- TIME
- 조치
- ALERTUUID
- APPLICATION_USER
- 구성요소
- COMPR
- DSTADDR
- DSTPORT
- FILENAME
- FROM
- GROUP
- 멀웨어 이름
- 멀웨어 유형
- MD5
- POLICY
- PROTO
- REQUEST_METHOD
- REQUEST_AGENT
- REQUEST_URL
- RULE
- SENIP
- 심각도
- SRCADDR
- SRCPORT
- 요약
- 타겟
- 받는사람
- VIOLATION_INFO
- VLAN_ID
Fidelis XPS 버전 8.1에는 새 데이터를 내보내도록 구성할 수 있는 추가 데이터가 도입되었습니다. 새 필드에는 REQUEST_METHOD, REQUEST_AGENT, REQUEST_URL, VIOLATION_INFO, VLAN_ID가 포함됩니다.

VIOLATION_INFO에는 알림 세부정보 페이지의 위반 정보 섹션에 있는 모든 데이터가 포함됩니다. 이 데이터에는 알림을 생성하는 일치 데이터가 포함됩니다. 또한 피드 데이터와 일치하는 경우 피드 데이터에 포함된 추가 정보도 포함됩니다. VIOLATION_INFO는 크기가 클 수 있습니다. syslog 내보내기에서 이 기능을 사용하려면 TCP를 사용 설정해야 합니다.
시스템 > 멀웨어 > 멀웨어 감지를 선택합니다.
멀웨어 감지 엔진 및 자동 멀웨어 정책 체크박스를 선택합니다.
저장을 클릭합니다.

Fidelis Network 로그를 수집하도록 Google Security Operations 전달자 구성

SIEM 설정 > 전달자를 선택합니다.
새 전달자 추가를 클릭합니다.
전달자 이름 입력란에 고유한 이름을 입력합니다.
제출을 클릭한 다음 확인을 클릭합니다. 전달자가 추가되고 수집기 구성 추가 창이 표시됩니다.
수집기 이름 입력란에 수집기의 고유한 이름을 입력합니다.
로그 유형으로 Fidelis Network를 선택합니다.
수집기 유형으로 Syslog를 선택합니다.
다음 입력 매개변수를 구성합니다.
- 프로토콜: 수집기가 syslog 데이터를 리슨하는 데 사용하는 연결 프로토콜을 지정합니다.
- 주소: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 IP 주소 또는 호스트 이름을 지정합니다.
- 포트: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 포트를 지정합니다.
제출을 클릭합니다.

Google Security Operations 전달자에 대한 자세한 내용은 Google Security Operations UI를 통해 전달자 구성 관리를 참고하세요.

전달자를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

필드 매핑 참조

이 파서는 SYSLOG, 키-값 쌍, JSON 형식의 Fidelis Network 로그를 처리하여 UDM으로 변환합니다. 필드를 추출하고, 다양한 로그 구조를 처리하고, UDM 필드에 매핑하고, 심각도 및 위협 지표에 따라 _is_alert 및 _is_significant와 같은 라벨로 이벤트를 보강합니다.

UDM 매핑 표

로그 필드	UDM 매핑	논리
`aaction`	`event.idm.read_only_udm.security_result.action_details`	'없음' 또는 빈 문자열이 아닌 경우 직접 매핑됩니다.
`alert_threat_score`	`event.idm.read_only_udm.security_result.detection_fields[].key`: 'alert_threat_score', `event.idm.read_only_udm.security_result.detection_fields[].value`: `alert_threat_score`의 값	감지 필드로 직접 매핑됩니다.
`alert_type`	`event.idm.read_only_udm.security_result.detection_fields[].key`: 'alert_type', `event.idm.read_only_udm.security_result.detection_fields[].value`: `alert_type`의 값	감지 필드로 직접 매핑됩니다.
`answers`	`event.idm.read_only_udm.network.dns.answers[].data`	DNS 이벤트에 직접 매핑됩니다.
`application_user`	`event.idm.read_only_udm.principal.user.userid`	직접 매핑됩니다.
`asset_os`	`event.idm.read_only_udm.target.platform`	WINDOWS, LINUX, MAC 또는 UNKNOWN_PLATFORM으로 표준화됩니다.
`certificate.end_date`	`event.idm.read_only_udm.network.tls.client.certificate.not_after`	파싱되어 타임스탬프로 변환됩니다.
`certificate.extended_key_usage`	`event.idm.read_only_udm.additional.fields[].key`: 'Extended Key Usage'(확장 키 사용), `event.idm.read_only_udm.additional.fields[].value.string_value`: `certificate.extended_key_usage` 값	추가 필드로 매핑됩니다.
`certificate.issuer_name`	`event.idm.read_only_udm.network.tls.server.certificate.issuer`	직접 매핑됩니다.
`certificate.key_length`	`event.idm.read_only_udm.additional.fields[].key`: '키 길이', `event.idm.read_only_udm.additional.fields[].value.string_value`: `certificate.key_length`의 값	추가 필드로 매핑됩니다.
`certificate.key_usage`	`event.idm.read_only_udm.additional.fields[].key`: '키 사용', `event.idm.read_only_udm.additional.fields[].value.string_value`: `certificate.key_usage` 값	추가 필드로 매핑됩니다.
`certificate.start_date`	`event.idm.read_only_udm.network.tls.client.certificate.not_before`	파싱되어 타임스탬프로 변환됩니다.
`certificate.subject_altname`	`event.idm.read_only_udm.additional.fields[].key`: 'Certificate Alternate Name', `event.idm.read_only_udm.additional.fields[].value.string_value`: `certificate.subject_altname` 값	추가 필드로 매핑됩니다.
`certificate.subject_name`	`event.idm.read_only_udm.network.tls.server.certificate.subject`	직접 매핑됩니다.
`certificate.type`	`event.idm.read_only_udm.additional.fields[].key`: 'Certificate_Type', `event.idm.read_only_udm.additional.fields[].value.string_value`: `certificate.type`의 값	추가 필드로 매핑됩니다.
`cipher`	`event.idm.read_only_udm.network.tls.cipher`	직접 매핑됩니다.
`client_asset_name`	`event.idm.read_only_udm.principal.application`	직접 매핑됩니다.
`client_asset_subnet`	`event.idm.read_only_udm.additional.fields[].key`: 'client_asset_subnet', `event.idm.read_only_udm.additional.fields[].value.string_value`: `client_asset_subnet`의 값	추가 필드로 매핑됩니다.
`client_ip`	`event.idm.read_only_udm.principal.ip`	직접 매핑됩니다.
`client_port`	`event.idm.read_only_udm.principal.port`	정수로 직접 매핑되고 변환됩니다.
`ClientIP`	`event.idm.read_only_udm.principal.ip`	직접 매핑됩니다.
`ClientPort`	`event.idm.read_only_udm.principal.port`	정수로 직접 매핑되고 변환됩니다.
`ClientCountry`	`event.idm.read_only_udm.principal.location.country_or_region`	'UNKNOWN' 또는 빈 문자열이 아닌 경우 직접 매핑됩니다.
`ClientAssetID`	`event.idm.read_only_udm.principal.asset_id`	'0'이 아니거나 빈 문자열이 아닌 경우 'Asset:'이 접두사로 추가됩니다.
`ClientAssetName`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key`: 'ClientAssetName', `event.idm.read_only_udm.principal.resource.attribute.labels[].value`: `ClientAssetName`의 값	기본 리소스 라벨로 매핑됩니다.
`ClientAssetRole`	`event.idm.read_only_udm.principal.asset.attribute.roles[].name`	직접 매핑됩니다.
`ClientAssetServices`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key`: 'ClientAssetServices', `event.idm.read_only_udm.principal.resource.attribute.labels[].value`: `ClientAssetServices` 값	기본 리소스 라벨로 매핑됩니다.
`Client`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key`: '고객', `event.idm.read_only_udm.principal.resource.attribute.labels[].value`: `Client`의 값	기본 리소스 라벨로 매핑됩니다.
`Collector`	`event.idm.read_only_udm.security_result.detection_fields[].key`: 'Collector', `event.idm.read_only_udm.security_result.detection_fields[].value`: `Collector`의 값	감지 필드로 매핑됩니다.
`command`	`event.idm.read_only_udm.network.http.method`	HTTP 이벤트에 직접 매핑됩니다.
`Command`	`event.idm.read_only_udm.security_result.detection_fields[].key`: '명령어', `event.idm.read_only_udm.security_result.detection_fields[].value`: `Command`의 값	감지 필드로 매핑됩니다.
`Connection`	`event.idm.read_only_udm.security_result.detection_fields[].key`: '연결', `event.idm.read_only_udm.security_result.detection_fields[].value`: `Connection`의 값	감지 필드로 매핑됩니다.
`DecodingPath`	`event.idm.read_only_udm.security_result.detection_fields[].key`: 'DecodingPath', `event.idm.read_only_udm.security_result.detection_fields[].value`: `DecodingPath` 값	감지 필드로 매핑됩니다.
`dest_country`	`event.idm.read_only_udm.target.location.country_or_region`	직접 매핑됩니다.
`dest_domain`	`event.idm.read_only_udm.target.hostname`	직접 매핑됩니다.
`dest_ip`	`event.idm.read_only_udm.target.ip`	직접 매핑됩니다.
`dest_port`	`event.idm.read_only_udm.target.port`	정수로 직접 매핑되고 변환됩니다.
`Direction`	`event.idm.read_only_udm.security_result.detection_fields[].key`: '방향', `event.idm.read_only_udm.security_result.detection_fields[].value`: `Direction`의 값	감지 필드로 매핑됩니다.
`dns.host`	`event.idm.read_only_udm.network.dns.questions[].name`	DNS 이벤트에 직접 매핑됩니다.
`DomainName`	`event.idm.read_only_udm.target.administrative_domain`	직접 매핑됩니다.
`DomainAlexaRank`	`event.idm.read_only_udm.security_result.detection_fields[].key`: 'DomainAlexaRank', `event.idm.read_only_udm.security_result.detection_fields[].value`: `DomainAlexaRank` 값	감지 필드로 매핑됩니다.
`dport`	`event.idm.read_only_udm.target.port`	정수로 직접 매핑되고 변환됩니다.
`dnsresolution.server_fqdn`	`event.idm.read_only_udm.target.hostname`	직접 매핑됩니다.
`Duration`	`event.idm.read_only_udm.security_result.detection_fields[].key`: 'Duration'(시간), `event.idm.read_only_udm.security_result.detection_fields[].value`: `Duration`의 값	감지 필드로 매핑됩니다.
`Encrypted`	`event.idm.read_only_udm.security_result.detection_fields[].key`: '암호화됨', `event.idm.read_only_udm.security_result.detection_fields[].value`: `Encrypted`의 값	감지 필드로 매핑됩니다.
`Entropy`	`event.idm.read_only_udm.security_result.detection_fields[].key`: '엔트로피', `event.idm.read_only_udm.security_result.detection_fields[].value`: `Entropy`의 값	감지 필드로 매핑됩니다.
`event.idm.is_alert`	`event.idm.is_alert`	심각도가 심각함 또는 malware_type이 있는 경우('위협 사냥' 라벨 제외) true로 설정합니다.
`event.idm.is_significant`	`event.idm.is_significant`	심각도가 심각함 또는 malware_type이 있는 경우('위협 사냥' 라벨 제외) true로 설정합니다.
`event.idm.read_only_udm.additional.fields`	`event.idm.read_only_udm.additional.fields`	파서 로직에 따라 다양한 추가 필드가 포함되어 있습니다.
`event.idm.read_only_udm.metadata.description`	`event.idm.read_only_udm.metadata.description`	`summary` 필드에서 직접 매핑됩니다.
`event.idm.read_only_udm.metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	다양한 로그 필드와 파서 로직을 기반으로 결정됩니다. GENERIC_EVENT, NETWORK_CONNECTION, NETWORK_HTTP, NETWORK_SMTP, NETWORK_DNS, STATUS_UPDATE, NETWORK_FLOW 중 하나일 수 있습니다.
`event.idm.read_only_udm.metadata.log_type`	`event.idm.read_only_udm.metadata.log_type`	'FIDELIS_NETWORK'로 설정합니다.
`event.idm.read_only_udm.metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	'FIDELIS_NETWORK'로 설정합니다.
`event.idm.read_only_udm.metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	'FIDELIS_NETWORK'로 설정합니다.
`event.idm.read_only_udm.network.application_protocol`	`event.idm.read_only_udm.network.application_protocol`	`server_port` 또는 `protocol` 필드를 기준으로 결정됩니다. HTTP, HTTPS, SMTP, SSH, RPC, DNS, NFS, AOLMAIL일 수 있습니다.
`event.idm.read_only_udm.network.direction`	`event.idm.read_only_udm.network.direction`	`summary`의 `direction` 필드 또는 키워드를 기준으로 결정됩니다. INBOUND 또는 OUTBOUND일 수 있습니다.
`event.idm.read_only_udm.network.dns.answers`	`event.idm.read_only_udm.network.dns.answers`	DNS 이벤트에 대해 채워집니다.
`event.idm.read_only_udm.network.dns.id`	`event.idm.read_only_udm.network.dns.id`	DNS 이벤트의 `number` 필드에서 매핑됩니다.
`event.idm.read_only_udm.network.dns.questions`	`event.idm.read_only_udm.network.dns.questions`	DNS 이벤트에 대해 채워집니다.
`event.idm.read_only_udm.network.email.from`	`event.idm.read_only_udm.network.email.from`	유효한 이메일 주소인 경우 `From`에서 직접 매핑됩니다.
`event.idm.read_only_udm.network.email.subject`	`event.idm.read_only_udm.network.email.subject`	`Subject`에서 직접 매핑됩니다.
`event.idm.read_only_udm.network.email.to`	`event.idm.read_only_udm.network.email.to`	`To`에서 직접 매핑됩니다.
`event.idm.read_only_udm.network.ftp.command`	`event.idm.read_only_udm.network.ftp.command`	`ftp.command`에서 직접 매핑됩니다.
`event.idm.read_only_udm.network.http.method`	`event.idm.read_only_udm.network.http.method`	`http.command` 또는 `Command`에서 직접 매핑됩니다.
`event.idm.read_only_udm.network.http.referral_url`	`event.idm.read_only_udm.network.http.referral_url`	`Referer`에서 직접 매핑됩니다.
`event.idm.read_only_udm.network.http.response_code`	`event.idm.read_only_udm.network.http.response_code`	`http.status_code` 또는 `StatusCode`에서 직접 매핑되고 정수로 변환됩니다.
`event.idm.read_only_udm.network.http.user_agent`	`event.idm.read_only_udm.network.http.user_agent`	`http.useragent` 또는 `UserAgent`에서 직접 매핑됩니다.
`event.idm.read_only_udm.network.ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	TCP 또는 UDP인 경우 `tproto`에서 직접 매핑됩니다.
`event.idm.read_only_udm.network.received_bytes`	`event.idm.read_only_udm.network.received_bytes`	이름을 `event1.server_packet_count`에서 변경하고 부호 없는 정수로 변환했습니다.
`event.idm.read_only_udm.network.sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	이름을 `event1.client_packet_count`에서 변경하고 부호 없는 정수로 변환했습니다.
`event.idm.read_only_udm.network.session_duration.seconds`	`event.idm.read_only_udm.network.session_duration.seconds`	`event1.session_size`에서 이름을 바꾸고 정수로 변환했습니다.
`event.idm.read_only_udm.network.session_id`	`event.idm.read_only_udm.network.session_id`	`event1.rel_sesid` 또는 `UserSessionID`에서 직접 매핑됩니다.
`event.idm.read_only_udm.network.tls.client.certificate.issuer`	`event.idm.read_only_udm.network.tls.client.certificate.issuer`	`event1.certificate_issuer_name`에서 직접 매핑됩니다.
`event.idm.read_only_udm.network.tls.client.certificate.not_after`	`event.idm.read_only_udm.network.tls.client.certificate.not_after`	`event1.certificate_end_date`에서 파싱되고 타임스탬프로 변환됩니다.
`event.idm.read_only_udm.network.tls.client.certificate.not_before`	`event.idm.read_only_udm.network.tls.client.certificate.not_before`	`event1.certificate_start_date`에서 파싱되고 타임스탬프로 변환됩니다.
`event.idm.read_only_udm.network.tls.client.certificate.subject`	`event.idm.read_only_udm.network.tls.client.certificate.subject`	`event1.certificate_subject_name`에서 직접 매핑됩니다.
`event.idm.read_only_udm.network.tls.client.ja3`	`event.idm.read_only_udm.network.tls.client.ja3`	`event1.ja3digest`에서 직접 매핑되고 문자열로 변환됩니다.
`event.idm.read_only_udm.network.tls.cipher`	`event.idm.read_only_udm.network.tls.cipher`	`event1.cipher`, `CipherSuite`, `cipher` 또는 `event1.tls_ciphersuite`에서 직접 매핑됩니다.
`event.idm.read_only_udm.network.tls.server.certificate.issuer`	`event.idm.read_only_udm.network.tls.server.certificate.issuer`	`certificate_issuer_name`에서 직접 매핑됩니다.
`event.idm.read_only_udm.network.tls.server.certificate.subject`	`event.idm.read_only_udm.network.tls.server.certificate.subject`	`certificate_subject_name`에서 직접 매핑됩니다.
`event.idm.read_only_udm.network.tls.server.ja3s`	`event.idm.read_only_udm.network.tls.server.ja3s`	`event1.ja3sdigest`에서 직접 매핑되고 문자열로 변환됩니다.
`event.idm.read_only_udm.network.tls.version`	`event.idm.read_only_udm.network.tls.version`	`event1.version`에서 직접 매핑됩니다.
`event.idm.read_only_udm.principal.application`	`event.idm.read_only_udm.principal.application`	`event1.client_asset_name`에서 직접 매핑됩니다.
`event.idm.read_only_udm.principal.asset.attribute.roles[].name`	`event.idm.read_only_udm.principal.asset.attribute.roles[].name`	`ClientAssetRole`에서 직접 매핑됩니다.
`event.idm.read_only_udm.principal.asset_id`	`event.idm.read_only_udm.principal.asset_id`	`ClientAssetID` 또는 `ServerAssetID`에서 직접 매핑됩니다('Asset:' 접두사 사용).
`event.idm.read_only_udm.principal.hostname`	`event.idm.read_only_udm.principal.hostname`	`event1.sld` 또는 `src_domain`에서 직접 매핑됩니다.
`event.idm.read_only_udm.principal.ip`	`event.idm.read_only_udm.principal.ip`	`event1.src_ip6`, `client_ip` 또는 `ClientIP`에서 직접 매핑됩니다.
`event.idm.read_only_udm.principal.location.country_or_region`	`event.idm.read_only_udm.principal.location.country_or_region`	'UNKNOWN' 또는 빈 문자열이 아닌 경우 `ClientCountry` 또는 `src_country`에서 직접 매핑됩니다.
`event.idm.read_only_udm.principal.port`	`event.idm.read_only_udm.principal.port`	`event1.sport` 또는 `client_port`에서 직접 매핑되고 정수로 변환됩니다.
`event.idm.read_only_udm.principal.resource.attribute.labels`	`event.idm.read_only_udm.principal.resource.attribute.labels`	파서 로직에 따라 다양한 라벨을 포함합니다.
`event.idm.read_only_udm.principal.user.userid`	`event.idm.read_only_udm.principal.user.userid`	`ftp.user` 또는 `AppUser`에서 직접 매핑됩니다.
`event.idm.read_only_udm.security_result.action`	`event.idm.read_only_udm.security_result.action`	`severity`를 기준으로 결정됩니다. ALLOW, BLOCK 또는 UNKNOWN_ACTION일 수 있습니다.
`event.idm.read_only_udm.security_result.action_details`	`event.idm.read_only_udm.security_result.action_details`	'없음' 또는 빈 문자열이 아닌 경우 `Action`에서 직접 매핑됩니다.
`event.idm.read_only_udm.security_result.category`	`event.idm.read_only_udm.security_result.category`	`malware_type`가 있는 경우 NETWORK_SUSPICIOUS로 설정합니다.
`event.idm.read_only_udm.security_result.detection_fields`	`event.idm.read_only_udm.security_result.detection_fields`	파서 로직을 기반으로 하는 다양한 감지 필드를 포함합니다.
`event.idm.read_only_udm.security_result.rule_name`	`event.idm.read_only_udm.security_result.rule_name`	`rule_name`에서 직접 매핑됩니다.
`event.idm.read_only_udm.security_result.severity`	`event.idm.read_only_udm.security_result.severity`	`severity`를 기준으로 결정됩니다. INFORMATIONAL, MEDIUM, ERROR 또는 CRITICAL일 수 있습니다.
`event.idm.read_only_udm.security_result.summary`	`event.idm.read_only_udm.security_result.summary`	`label`에서 직접 매핑됩니다.
`event.idm.read_only_udm.security_result.threat_name`	`event.idm.read_only_udm.security_result.threat_name`	`malware_type`에서 직접 매핑되거나 'CVE-'가 포함된 경우 `summary`에서 파싱됩니다.
`event.idm.read_only_udm.target.administrative_domain`	`event.idm.read_only_udm.target.administrative_domain`	`DomainName`에서 직접 매핑됩니다.
`event.idm.read_only_udm.target.asset.attribute.roles[].name`	`event.idm.read_only_udm.target.asset.attribute.roles[].name`	`ServerAssetRole`에서 직접 매핑됩니다.
`event.idm.read_only_udm.target.file.full_path`	`event.idm.read_only_udm.target.file.full_path`	`ftp.filename` 또는 `Filename`에서 직접 매핑됩니다.
`event.idm.read_only_udm.target.file.md5`	`event.idm.read_only_udm.target.file.md5`	`event1.md5` 또는 `md5`에서 직접 매핑됩니다.
`event.idm.read_only_udm.target.file.mime_type`	`event.idm.read_only_udm.target.file.mime_type`	`event1.filetype`에서 직접 매핑됩니다.
`event.idm.read_only_udm.target.file.sha1`	`event.idm.read_only_udm.target.file.sha1`	`event1.srvcerthash`에서 직접 매핑됩니다.
`event.idm.read_only_udm.target.file.sha256`	`event.idm.read_only_udm.target.file.sha256`	`event1.sha256` 또는 `sha256`에서 직접 매핑됩니다.
`event.idm.read_only_udm.target.file.size`	`event.idm.read_only_udm.target.file.size`	이름을 `event1.filesize`에서 변경하고 0이 아닌 경우 부호 없는 정수로 변환했습니다.
`event.idm.read_only_udm.target.hostname`	`event.idm.read_only_udm.target.hostname`	`event1.sni`, `dest_domain` 또는 `Host`에서 직접 매핑됩니다.
`event.idm.read_only_udm.target.ip`	`event.idm.read_only_udm.target.ip`	`event1.dst_ip6`, `server_ip` 또는 `ServerIP`에서 직접 매핑됩니다.
`event.idm.read_only_udm.target.location.country_or_region`	`event.idm.read_only_udm.target.location.country_or_region`	`dest_country` 또는 `ServerCountry`에서 직접 매핑됩니다.
`event.idm.read_only_udm.target.platform`	`event.idm.read_only_udm.target.platform`	정규화 후 `asset_os`에서 매핑됩니다.
`event.idm.read_only_udm.target.platform_version`	`event.idm.read_only_udm.target.platform_version`	`os_version`에서 직접 매핑됩니다.
`event.idm.read_only_udm.target.port`	`event.idm.read_only_udm.target.port`	`event1.dport` 또는 `server_port`에서 직접 매핑되고 정수로 변환됩니다.
`event.idm.read_only_udm.target.resource.attribute.labels`	`event.idm.read_only_udm.target.resource.attribute.labels`	파서 로직에 따라 다양한 라벨을 포함합니다.
`event.idm.read_only_udm.target.url`	`event.idm.read_only_udm.target.url`	`url` 또는 `URL`에서 직접 매핑됩니다.
`event.idm.read_only_udm.target.user.product_object_id`	`event.idm.read_only_udm.target.user.product_object_id`	`uuid`에서 직접 매핑됩니다.
`event1.certificate_end_date`	`event.idm.read_only_udm.network.tls.client.certificate.not_after`	파싱되어 타임스탬프로 변환됩니다.
`event1.certificate_extended_key_usage`	`event.idm.read_only_udm.additional.fields[].key`: 'Extended Key Usage'(확장 키 사용), `event.idm.read_only_udm.additional.fields[].value.string_value`: `event1.certificate_extended_key_usage` 값	추가 필드로 매핑됩니다.
`event1.certificate_issuer_name`	`event.idm.read_only_udm.network.tls.client.certificate.issuer`	직접 매핑됩니다.
`event1.certificate_key_length`	`event.idm.read_only_udm.additional.fields[].key`: '키 길이', `event.idm.read_only_udm.additional.fields[].value.string_value`: `event1.certificate_key_length`의 값	추가 필드로 매핑됩니다.
`event1.certificate_key_usage`	`event.idm.read_only_udm.additional.fields[].key`: '키 사용', `event.idm.read_only_udm.additional.fields[].value.string_value`: `event1.certificate_key_usage` 값	추가 필드로 매핑됩니다.
`event1.certificate_start_date`	`event.idm.read_only_udm.network.tls.client.certificate.not_before`	파싱되어 타임스탬프로 변환됩니다.
`event1.certificate_subject_altname`	`event.idm.read_only_udm.additional.fields[].key`: 'Certificate Alternate Name', `event.idm.read_only_udm.additional.fields[].value.string_value`: `event1.certificate_subject_altname` 값	추가 필드로 매핑됩니다.
`event1.certificate_subject_name`	`event.idm.read_only_udm.network.tls.client.certificate.subject`	직접 매핑됩니다.
`event1.client_asset_name`	`event.idm.read_only_udm.principal.application`	직접 매핑됩니다.
`event1.client_asset_subnet`	`event.idm.read_only_udm.additional.fields[].key`: 'client_asset_subnet', `event.idm.read_only_udm.additional.fields[].value.string_value`: `event1.client_asset_subnet`의 값	추가 필드로 매핑됩니다.
`event1.client_packet_count`	`event.idm.read_only_udm.network.sent_bytes`	부호 없는 정수로 변환되고 이름이 변경되었습니다.
`event1.cipher`	`event.idm.read_only_udm.network.tls.cipher`	직접 매핑됩니다.
`event1.direction`	`event.idm.read_only_udm.network.direction`	's2c'인 경우 INBOUND에 매핑되고 'c2s'인 경우 OUTBOUND에 매핑됩니다.
`event1.d

변경사항

2024-06-04

JSON 로그의 새로운 패턴에 대한 지원이 추가되었습니다.
'protocol'이 'network.application_protocol'에 매핑되었습니다.
'alert_type'이 'security_result.detection_fields'에 매핑되었습니다.

2023-09-04

개선 -
'event1.sld'가 'principal.hostname'에 매핑되었습니다.
'event1.sni'가 'target.hostname'에 매핑되었습니다.
'event1.src_ip6'이 'principal.ip'에 매핑되었습니다.
'event1.dst_ip6'이 'target.ip'에 매핑되었습니다.
'event1.sport'가 'principal.port'에 매핑되었습니다.
'event1.dport'가 'target.port'에 매핑되었습니다.
'event1.cipher'가 'network.tls.cipher'에 매핑되었습니다.
'event1.tproto'가 'network.ip_protocol'에 매핑되었습니다.
'event1.client_asset_name'이 'principal.application'에 매핑되었습니다.
'event1.direction'이 'network.direction'에 매핑되었습니다.
'event1.rel_sesid'가 'network.session_id'에 매핑되었습니다.
'event1.tls_ciphersuite'가 'network.tls.cipher'에 매핑되었습니다.
'event1.ja3sdigest'가 'network.tls.server.ja3s'에 매핑되었습니다.
'event1.ja3digest'가 'network.tls.client.ja3'에 매핑되었습니다.
'event1.srvcerthash'가 'target.file.sha1'에 매핑되었습니다.
'event1.sha256'이 'target.file.sha256'에 매핑되었습니다.
'event1.md5'가 'target.file.md5'에 매핑되었습니다.
'event1.filetype'가 'target.file.mime_type'에 매핑되었습니다.
'event1.filesize'가 'target.file.size'에 매핑되었습니다.
'event1.certificate_issuer_name'이 'network.tls.client.certificate.issuer'에 매핑되었습니다.
'event1.certificate_subject_name'이 'network.tls.client.certificate.subject'에 매핑되었습니다.
'event1.certificate_start_date'가 'network.tls.client.certificate.not_before'에 매핑되었습니다.
'event1.certificate_end_date'가 'network.tls.client.certificate.not_after'에 매핑되었습니다.
'event1.client_packet_count'가 'network.sent_bytes'에 매핑되었습니다.
'event1.server_packet_count'가 'network.received_bytes'에 매핑되었습니다.
'event1.session_size'가 'network.session_duration.seconds'에 매핑되었습니다.
'event1.server_asset_subnet'이 'read_only_udm.additional.fields'에 매핑되었습니다.
'event1.client_asset_subnet'이 'read_only_udm.additional.fields'에 매핑되었습니다.
'event1.sha1hash'가 'read_only_udm.additional.fields'에 매핑되었습니다.
'event1.type'이 'read_only_udm.additional.fields'에 매핑되었습니다.
'event1.histbuf'가 'read_only_udm.additional.fields'에 매핑되었습니다.
'event1.sen_name'이 'read_only_udm.additional.fields'에 매핑되었습니다.
'event1.certificate_subject_altname'이 'read_only_udm.additional.fields'에 매핑되었습니다.
'event1.certificate_key_usage'가 'read_only_udm.additional.fields'에 매핑되었습니다.
'event1.certificate_key_length'가 'read_only_udm.additional.fields'에 매핑되었습니다.
'event1.certificate_extended_key_usage'가 'read_only_udm.additional.fields'에 매핑되었습니다.
'event1.version'이 'network.tls.version'에 매핑되었습니다.

2023-05-19

개선 -
'exe_richsignaturehash', 'exe_richsignaturepvhash', 'alert_threat_score'가 'security_result.detection_fields'에 매핑되었습니다.