이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Okta 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Google Security Operations 피드를 설정하여 Okta 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 OKTA 수집 라벨이 있는 파서에 적용됩니다.

Okta SSO 구성

Okta SSO를 구성하려면 다음 작업을 완료하세요.

읽기 전용 관리자 사용자 만들기

관리자 계정으로 Okta SSO 관리 콘솔에 로그인합니다.
표준 사용자를 만듭니다. 읽기 전용 관리자로 만들 기존 표준 사용자가 이미 있는 경우 다음 단계로 진행합니다.
보안 > 관리자를 선택합니다.
관리자 추가를 클릭합니다.
관리자 역할 부여 대상 입력란에 사용자 이름을 입력합니다.
관리자 역할 섹션에서 읽기 전용 관리자 체크박스를 선택합니다.
관리자 계정에서 로그아웃합니다.

API 키 가져오기

앞서 만든 읽기 전용 관리자로 Okta SSO 관리자 콘솔에 로그인합니다.
보안 > API를 선택합니다.
토큰 만들기를 클릭합니다.
토큰 이름을 입력하고 토큰 만들기를 클릭합니다. 토큰 값이 표시됩니다.
Google Security Operations 피드를 구성할 때 필요한 API 키를 복사합니다.

API 키는 나중에 복구할 수 없으며 창을 닫은 후 암호화된 형식으로 저장됩니다. 토큰을 만든 사용자 또는 사용자의 권한이 변경되면 토큰이 유효하지 않습니다. 토큰이 취소되거나 만료되면 새 토큰이 구성될 때까지 로그 수집이 중지됩니다.
확인을 클릭합니다.

Okta ASA 구성

Okta 시스템 로그 API를 통해 Okta 고급 서버 액세스 (ASA) 감사 이벤트를 가져오려면 Okta ASA 감사 이벤트를 Okta 시스템 로그와 통합하세요. 이 통합을 사용 설정하려면 Okta 지원팀에 문의하세요. 자세한 내용은 Okta 고객센터를 참고하세요.

Okta 로그를 수집하도록 Google Security Operations에서 피드 구성

SIEM 설정 > 피드로 이동합니다.
새 항목 추가를 클릭합니다.
필드 이름의 고유한 이름을 입력합니다.
소스 유형으로 서드 파티 API를 선택합니다.
로그 유형으로 Okta를 선택합니다.
다음을 클릭합니다.
다음 필수 입력 매개변수를 구성합니다.
- 인증 HTTP 헤더: 서버에서 사용자 에이전트를 인증하여 보호된 리소스에 대한 액세스 권한을 부여하는 사용자 인증 정보를 지정합니다.
- API 호스트 이름: API를 제공하는 호스트의 도메인 이름 또는 IP 주소를 지정합니다.
다음을 클릭한 후 제출을 클릭합니다.

Google Security Operations 피드에 대한 자세한 내용은 Google Security Operations 피드 문서를 참조하세요. 각 피드 유형의 요구사항은 유형별 피드 구성을 참고하세요.

피드를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

필드 매핑 참조

이 파서는 JSON 형식의 Okta 시스템 로그를 처리하여 Stackdriver 래핑 로그와 원시 Okta 로그에서 모두 필드를 추출합니다. 로그인, 로그아웃, 권한 변경, 보안 위협을 비롯한 ID 및 액세스 관리 이벤트에 중점을 두고 데이터를 UDM 형식으로 표준화하는 동시에 다양한 인증 유형을 처리하고 지역 컨텍스트 및 사용자 에이전트 정보로 데이터를 보강합니다. 또한 파서는 위험 이유, 위협 지표, 의심스러운 활동 정보와 같은 보안 관련 세부정보를 추출합니다.

UDM 매핑 표

로그 필드	UDM 매핑	논리
`actor.alternateId`	`principal.user.email_addresses`/`principal.user.userid`	`alternateId` 필드가 유효한 이메일 주소인 경우 사용자 이름 부분이 `principal.user.userid`에 매핑되고 전체 이메일 주소가 `principal.user.email_addresses` 목록에 추가됩니다. 유효한 이메일이 아니면 전체 값이 `principal.user.userid`에 매핑됩니다.
`actor.displayName`	`principal.user.user_display_name`	직접 매핑
`actor.id`	`principal.user.product_object_id`	직접 매핑
`actor.type`	`principal.user.attribute.roles.name`	직접 매핑
`authenticationContext.authenticationProvider`	`security_result.detection_fields.value`(여기서 `key`은 'authenticationProvider')	감지 필드로 직접 매핑
`authenticationContext.credentialProvider`	`security_result.detection_fields.value`, 여기서 `key`은 'credentialProvider'입니다.	감지 필드로 직접 매핑
`authenticationContext.credentialType`	`extensions.auth.mechanism`	인증 메커니즘을 파생하는 데 사용됩니다. 'OTP' 또는 'SMS'가 'OTP'로, 'PASSWORD'가 'USERNAME_PASSWORD'로, 'IWA' 또는 `eventType` 'user.authentication.auth_via_AD_agent'가 'LOCAL'로 변경됩니다.
`authenticationContext.externalSessionId`	`network.parent_session_id`	직접 매핑
`client.device`	`principal.asset.type` / `additional.fields.value.string_value`(여기서 `key`은 '기기')	값이 'Mobile'인 경우 'MOBILE'에 매핑됩니다. '컴퓨터'인 경우 'WORKSTATION'에 매핑됩니다. '알 수 없음'인 경우 'ROLE_UNSPECIFIED'에 매핑됩니다. 추가 필드로도 추가되었습니다.
`client.geographicalContext.city`	`principal.location.city`	직접 매핑
`client.geographicalContext.country`	`principal.location.country_or_region`	직접 매핑
`client.geographicalContext.geolocation.lat`	`principal.location.region_latitude`	직접 매핑
`client.geographicalContext.geolocation.lon`	`principal.location.region_longitude`	직접 매핑
`client.geographicalContext.postalCode`	`additional.fields.value.string_value`(여기서 `key`은 '우편번호')	추가 필드로 직접 매핑
`client.geographicalContext.state`	`principal.location.state`	직접 매핑
`client.ipAddress`	`principal.ip`/`principal.asset.ip`	직접 매핑 없으면 파서는 `request.ipChain.0.ip` 또는 `debugContext.debugData.clientAddress`과 같은 다른 필드에서 이를 추출하려고 시도합니다.
`client.userAgent.browser`	`target.resource.attribute.labels.value`(여기서 `key`은 '브라우저')	라벨로 직접 매핑
`client.userAgent.os`	`principal.platform`	값에 'Linux'가 포함된 경우 'LINUX'에 매핑됩니다. 'windows'인 경우 'WINDOWS'에 매핑됩니다. 'mac' 또는 'ios'인 경우 'MAC'에 매핑됩니다.
`client.userAgent.rawUserAgent`	`network.http.user_agent`	직접 매핑 또한 `network.http.parsed_user_agent`에서 파싱되고 저장됩니다.
`client.zone`	`additional.fields.value.string_value`, 여기서 `key`은 'zone'입니다.	추가 필드로 직접 매핑
`debugContext.debugData.behaviors`	`security_result.description`	직접 매핑 개별 동작도 별도의 감지 필드로 추출됩니다.
`debugContext.debugData.changedAttributes`	`security_result.detection_fields.value`(여기서 `key`은 'changedAttributes'임)	감지 필드로 직접 매핑
`debugContext.debugData.clientAddress`	`principal.ip`/`principal.asset.ip`	`client.ipAddress` 및 `request.ipChain.0.ip`가 없는 경우 대체로 사용됩니다.
`debugContext.debugData.deviceFingerprint`	`target.asset.asset_id`	'device_finger_print:'로 접두사가 지정된 후 매핑됩니다.
`debugContext.debugData.dtHash`	`security_result.detection_fields.value`(여기서 `key`은 'dtHash')	감지 필드로 직접 매핑
`debugContext.debugData.factor`	`security_result.detection_fields.value`(여기서 `key`은 '계수')	감지 필드로 직접 매핑
`debugContext.debugData.factorIntent`	`security_result.detection_fields.value`(여기서 `key`은 'factorIntent')	감지 필드로 직접 매핑
`debugContext.debugData.logOnlySecurityData.risk.reasons`	`security_result.detection_fields.value`: `key`이 '위험 이유'인 경우	감지 필드로 직접 매핑
`debugContext.debugData.privilegeGranted`	`target.user.attribute.roles.name`/`target.user.attribute.roles.description`	각 권한은 이름과 설명이 모두 권한 값으로 설정된 별도의 역할로 추가됩니다.
`debugContext.debugData.pushOnlyResponseType`	`security_result.detection_fields.value`(여기서 `key`은 'pushOnlyResponseType')	감지 필드로 직접 매핑
`debugContext.debugData.pushWithNumberChallengeResponseType`	`security_result.detection_fields.value`(여기서 `key`은 'pushWithNumberChallengeResponseType'임)	감지 필드로 직접 매핑
`debugContext.debugData.requestId`	`network.session_id`	직접 매핑
`debugContext.debugData.requestUri`	`extensions.auth.auth_details`/`target.url`	직접 매핑
`debugContext.debugData.suspiciousActivityEventId`	`security_result.detection_fields.value`(여기서 `key`은 'suspiciousActivityEventId'임)	감지 필드로 직접 매핑
`debugContext.debugData.suspiciousActivityEventType`	`security_result.detection_fields.value`, 여기서 `key`는 'suspiciousActivityEventType'입니다.	감지 필드로 직접 매핑
`debugContext.debugData.threatDetections`	`security_result.detection_fields.value`: `key`이 'threatDetections'인 경우	감지 필드로 직접 매핑
`debugContext.debugData.threatSuspected`	`security_result.detection_fields.value`, 여기서 `key`은 'threatSuspected'입니다.	감지 필드로 직접 매핑 `security_result.threat_status`를 결정하는 데도 사용됩니다. true이면 상태가 'ACTIVE'이고, false이면 'FALSE_POSITIVE'입니다.
`debugContext.debugData.url`	`target.url`	직접 매핑
`displayMessage`	`security_result.summary`	직접 매핑
`eventType`	`metadata.product_event_type`	직접 매핑 `metadata.event_type`를 결정하는 데도 사용됩니다 (아래 로직 참고).
`legacyEventType`	`security_result.detection_fields.value`(여기서 `key`은 'legacyEventType')	감지 필드로 직접 매핑
`outcome.reason`	`security_result.category_details`	직접 매핑
`outcome.result`	`security_result.action`	'SUCCESS' 또는 'ALLOW'가 'ALLOW'로, 'CHALLENGE'가 'CHALLENGE'로, 'FAILURE', 'DENY', 'SKIPPED' 또는 'RATE_LIMIT'이 'BLOCK'으로 변경됩니다.
`published`	`metadata.event_timestamp`	타임스탬프로 변환됩니다.
`request.ipChain.0.geographicalContext.*`	`principal.location.*`	체인의 첫 번째 IP의 지리적 컨텍스트가 사용자의 위치에 매핑됩니다.
`request.ipChain.0.ip`	`principal.ip`/`principal.asset.ip`	직접 매핑
`request.ipChain.1.geographicalContext.*`	`intermediary.location.*`	체인의 두 번째 IP의 지리적 컨텍스트가 중간 위치에 매핑됩니다.
`request.ipChain.1.ip`	`intermediary.ip`	직접 매핑
`securityContext.asNumber`	`security_result.detection_fields.value`(여기서 `key`은 'asNumber')	감지 필드로 직접 매핑
`securityContext.asOrg`	`security_result.detection_fields.value`(여기서 `key`은 'asOrg')	감지 필드로 직접 매핑
`securityContext.domain`	`security_result.detection_fields.value`(여기서 `key`은 '도메인')	값이 '.'이 아닌 경우 감지 필드로 직접 매핑합니다.
`securityContext.isp`	`security_result.detection_fields.value`, 여기서 `key`은 'isp'입니다.	감지 필드로 직접 매핑
`securityContext.isProxy`	`security_result.detection_fields.value`, 여기서 `key`은 '익명처리된 IP'입니다.	감지 필드로 직접 매핑
`target.0.alternateId`	`target.user.email_addresses`/`target.user.userid`	`actor.alternateId`와 유사한 로직입니다.
`target.0.detailEntry.clientAppId`	`target.asset_id`	'Client_app_id:'가 접두사로 추가된 후 매핑됩니다.
`target.0.displayName`	`target.user.user_display_name` / `target.application` / `target.resource.name`	`target.0.type`를 기반으로 매핑됩니다.
`target.0.id`	`target.user.product_object_id`/`target.resource.product_object_id`	`target.0.type`를 기반으로 매핑됩니다.
`target.0.type`	`target.user.attribute.roles.name`/`target.resource.resource_subtype`	값을 기반으로 매핑됩니다. 다른 `target.0` 필드의 매핑을 결정하는 데도 사용됩니다.
`target.1.alternateId`	`target.user.email_addresses`/`target.user.userid`	`actor.alternateId`와 유사한 로직입니다.
`target.1.detailEntry.clientAppId`	`target.asset_id`	'Client_app_id:'가 접두사로 추가된 후 매핑됩니다.
`target.1.displayName`	`target.user.user_display_name`/`target.resource.name`	`target.1.type`를 기반으로 매핑됩니다.
`target.1.id`	`target.user.product_object_id`/`target.resource.product_object_id`	`target.1.type`를 기반으로 매핑됩니다.
`target.1.type`	`target.user.attribute.roles.name`/`target.resource.resource_subtype`	값을 기반으로 매핑됩니다. 다른 `target.1` 필드의 매핑을 결정하는 데도 사용됩니다.
`target.2.alternateId` `target.2.displayName` `target.2.id` `target.2.type` `transaction.id`	`network.session_id`	직접 매핑
`transaction.type`	`additional.fields.value.string_value`(여기서 `key`은 '유형')	추가 필드로 직접 매핑
`uuid`	`metadata.product_log_id`	직접 매핑
해당 사항 없음	`metadata.event_type`	`eventType`에 의해 결정됩니다. 전체 매핑 로직은 파서 코드를 참고하세요. 일부 주요 매핑은 다음과 같습니다. 'user.authentication.sso', 'user.authentication.auth_via_mfa', 'user.session.start'는 'USER_LOGIN'에 매핑되고, 'user.session.end'는 'USER_LOGOUT'에 매핑됩니다. 'user.account.reset_password'는 'USER_CHANGE_PASSWORD'에 매핑되고, 'application.user_membership.update'는 'USER_CHANGE_PERMISSIONS'에 매핑됩니다. 'security.threat.detected'는 'USER_UNCATEGORIZED'에 매핑되고, 'system.import.user.delete'는 'USER_DELETION'에 매핑됩니다. 'policy.rule.update'는 'SETTING_MODIFICATION'에 매핑되고, 'group.user_membership.remove'는 'GROUP_MODIFICATION'에 매핑됩니다. 다른 많은 `eventType` 값은 'USER_UNCATEGORIZED'에 매핑됩니다.
해당 사항 없음	`metadata.log_type`	'OKTA'로 설정합니다.
해당 사항 없음	`metadata.product_name`	'Okta'로 설정합니다.
해당 사항 없음	`metadata.vendor_name`	'Okta'로 설정합니다.
해당 사항 없음	`extensions.auth.type`	'SSO'로 설정합니다.

변경사항

2024년 5월 16일

'is_alert'가 true이고 'is_significant'가 true인 경우 'security_result.alert_state'를 'ALERTING'으로 설정합니다.

2024-03-05

트래픽이 허용되었는지 또는 차단되었는지 반영하도록 'security_result.action' 필드를 업데이트했습니다.

2024-02-16

버그 수정:
'target.0.type'이 'User' 또는 'AppUser'인 경우 'target.0.alternateId'가 'target.user.userid'에 매핑되었습니다.
'target.1.type'이 'User' 또는 'AppUser'인 경우 'target.1.alternateId'가 'target.user.userid'에 매핑되었습니다.

2023-12-14

'securityContext.asNumber'가 'security_result.detection_fields'에 매핑되었습니다.
'legacyEventType'이 'security_result.detection_fields'에 매핑되었습니다.
'metadata.event_type'을 설정하기 전에 'conditional_check'를 추가했습니다.

2023-06-28

'debugContext.debugData.suspiciousActivityEventType'의 전체 값을 'security_result.detection_fields'에 매핑했습니다.
'debugContext.debugData.logOnlySecurityData.behaviors.New Device'의 전체 값을 'security_result.detection_fields'에 매핑했습니다.

2023-06-09

'debugContext.debugData.deviceFingerprint' 필드가 'target.asset.asset_id'에 매핑됩니다.
'debugContext.debugData.risk.reasons'의 전체 값을 'security_result.detection_fields'에 매핑했습니다.

2023-05-17

'authenticationContext.externalSessionId' 필드가 'network.parent_session_id'에 매핑됩니다.
'debugContext.debugData.pushOnlyResponseType' 필드가 'security_result.detection_fields.key/value'에 매핑됩니다.
'debugContext.debugData.factor' 필드가 'security_result.detection_fields.key/value'에 매핑됩니다.
'debugContext.debugData.factorIntent' 필드가 'security_result.detection_fields.key/value'에 매핑됩니다.
'debugContext.debugData.pushWithNumberChallengeResponseType' 필드가 'security_result.detection_fields.key/value'에 매핑됩니다.
'debugContext.debugData.dtHash' 필드가 'security_result.detection_fields.key/value'에 매핑됩니다.
'client.userAgent.rawUserAgent' 필드가 'network.http.user_agent'에 매핑됩니다.
'security_result.action'의 매핑이 'ALLOW_WITH_MODIFICATION'에서 enum 값 'CHALLENGE'로 변경되었습니다.
eventType 'system.api_token.create'의 경우 metadata.event_type이 'USER_UNCATEGORIZED'에서 'RESOURCE_CREATION'으로 변경되었습니다.

2023-04-28

버그 수정:
'debugContext.debugData.threatSuspected'가 'true'인 경우 'security_result.threat_status'의 매핑을 'ACTIVE'로 수정하고 그 외의 경우에는 'FALSE_POSITIVE'로 매핑했습니다.

2023-03-24

'logOnlySecurityData' 필드가 'security_result.detection_fields'에 매핑되었습니다.
또한 작업 목록에 'DEFERRED'를 추가하여 파싱 오류를 해결했습니다.

2023-04-11

'http.user_agent'에 매핑된 필드를 'http.parsed_user_agent'에 다시 매핑했습니다.
'target.displayName'이 'target.resource_ancestors.name'에 매핑되었습니다.
'targetfield.detailEntry.methodTypeUsed'가 'target.resource_ancestors.attribute.labels'에 매핑되었습니다.
'targetfield.detailEntry.methodUsedVerifiedProperties'가 'target.resource_ancestors.attribute.labels'에 매핑되었습니다.

2023-02-20

'metadata.event_type'을 'USER_LOGIN'에서 'STATUS_UPDATE'로 변경했습니다('eventType'이 'user.authentication.auth_via_AD_agent'인 경우).

2022-12-14

'debugContext.debugData.changedAttributes'가 'security_result.detection_fields'에 매핑되었습니다.
'detail.actor.alternateId'에 대한 null 검사를 추가했습니다.

2022-11-17

'target[n].alternateId' 필드가 'target.resource.attribute.labels'에 매핑됩니다.
'detail.target.0.alternateId' 필드가 'target.resource.attribute.labels'에 매핑되었습니다.

2022-11-08

버그 수정:
'user_email' 필드의 올바른 이메일 확인을 위한 조건을 추가했습니다.
'RATE_LIMIT'에 없는 'Action1' 필드에 대한 검사를 추가했습니다.
'actor.displayName'에 null, 알 수 없음 검사를 추가했습니다.

2022-11-04

여러 이벤트가 있는 로그에 대한 지원을 추가했습니다.

2022-10-15

'signOnModeType'이 'security_result.detection_fields'에 매핑되었습니다.
'authenticationProvider'가 'security_result.detection_fields'에 매핑되었습니다.
'credentialProvider'가 'security_result.detection_fields'에 매핑되었습니다.
'device'가 'additional.fields'에 매핑되었습니다.
'zone'이 'additional.fields'에 매핑되었습니다.
'type'이 'additional.fields'에 매핑되었습니다.

2022-10-14

버그 수정:
'principal.user.email_addresses' 및 'target.user.email_addresses'에 대한 조건부 검사가 추가되었습니다.
'principal.ip'에 매핑된 'request.ipChain.0.ip' 필드의 유효한 ip_address를 확인하는 grok를 추가했습니다.
'target.url'에 매핑된 'debugContext.debugData.url' 필드에 on_error 조건을 추가했습니다.

2022-10-03

'client.userAgent.os'가 'principal.platform'에 매핑되었습니다.
'client.device'가 'principal.asset.type'에 매핑되었습니다.
'익명처리된 IP' (하드코딩된 문자열)를 security_result.detection_fields.key에 매핑하고 'securityContext.isProxy' 값을 해당하는 security_result.detection_fields.value에 매핑했습니다.

2022-09-16

'securityContext.asOrg'가 'security_result.category_details'에 매핑되었습니다.
'securityContext.isProxy'가 'security_result.detection_fields'에 매핑되었습니다.
'securityContext.domain'이 'security_result.detection_fields'에 매핑되었습니다.
'securityContext.isp'가 'security_result.detection_fields'에 매핑되었습니다.
'debugContext.debugData.risk.level'이 'security_result.severity'에 매핑되었습니다.
'debugContext.debugData.risk.reasons'가 'security_result.detection_fields'에 매핑되었습니다.

2022-08-12

새로 처리된 로그가 파싱되어 다음 필드에 매핑되었습니다.
'detail.uuid'가 'metadata.product_log_id'에 매핑되었습니다.
'detail.eventType'이 'metadata.product_event_type'에 매핑됨
'detail.actor.id'가 'principal.user.product_object_id'에 매핑되었습니다.
'detail.actor.alternateId'가 'principal.user.userid'에 매핑된 경우
'detail.actor.alternateId'가 'principal.user.email_addresses'에 매핑되었습니다.
'detail.actor.displayName'이 'principal.user.user_display_name'에 매핑되었습니다.
'detail.actor.type'이 '.principal.user.attribute.roles'에 매핑되었습니다.
'detail.client.ipChain.0.ip'가 'principal.ip'에 매핑되었습니다.
'detail.client.ipChain.0.geographicalContext.state'가 'principal.location.state'에 매핑되었습니다.
'detail.client.ipChain.0.geographicalContext.city'가 'principal.location.city'에 매핑되었습니다.
'detail.client.ipChain.0.geographicalContext.country'가 'principal.location.country_or_region'에 매핑되었습니다.
'detail.debugContext.debugData.requestUri'가 'target.url'에 매핑되었습니다.
'detail.target.0.type'이 'target.resource.resource_subtype'에 매핑되었습니다.
'detail.target.0.id'가 'target.resource.resource.product_object_id'에 매핑되었습니다.
'detail.target.0.displayName'이 'target.resource.resource_subtype'에 매핑되었습니다.
'detail.target.0.detailEntry.policyType'이 'target.resource_ancestors.attribute.labels'에 매핑되었습니다.
'detail.outcome.reason'이 'security_result.category_details'에 매핑되었습니다.
'detail.debugContext.debugData.threatSuspected'가 'security_result.detection_fields'에 매핑되었습니다.
'detail.displayMessage'가 'security_result.summary'에 매핑되었습니다.
'detail.outcome.result'가 'security_result.action'에 매핑되었습니다.
'detail.severity'가 'security_result.severity'에 매핑되었습니다.
'detail.transaction.id'가 'network.session_id'에 매핑되었습니다.
'detail.debugContext.debugData.requestUri'가 'extensions.auth.auth_details'에 매핑되었습니다.

2022-07-08

'actor.type'의 매핑을 'principal.user.role_name'에서 'principal.user.attribute.roles'로 수정했습니다.
'target.0.type'의 매핑을 'target.user.role_name'에서 'target.user.attribute.roles'로 수정했습니다.
'target.1.type'의 매핑을 'target.user.role_name'에서 'target.user.attribute.roles'로 수정했습니다.

2022-06-15

Enhancement-
for "target.0.type" == "Token".
'target.0.detailEntry.clientAppId'가 'target.asset_id'에 매핑되었습니다.
UDM 필드 'network.session_id'에 매핑된 'transaction.id' 필드에 대한 조건부 검사가 추가되었습니다.

2022-06-03

Enhancement-
debugContext.debugData.privilegeGranted를 target.user.attribute.roles.name에 추가로 매핑했습니다.
debugContext.debugData.requestUri를 extensions.auth.auth_details에 매핑했습니다.
debugContext.debugData.suspiciousActivityEventId, debugContext.debugData.threatDetections, debugContext.debugData.threatSuspected가 security_result.detection_fields에 매핑되었습니다.

2022-03-22

Enhancement-
debugContext.debugData.behaviors가 security_result.description에 매핑됨
debugContext.debugData.threatSuspected가 security_result.threat_status에 매핑됨
debugContext.debugData.risk가 security_result.severity에 매핑되었습니다.