Palo Alto Prisma Cloud 로그 수집

다음에서 지원:

이 문서에서는 Google Security Operations 피드를 설정하여 Palo Alto Prisma Cloud 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 PAN_PRISMA_CLOUD 수집 라벨이 있는 파서에 적용됩니다.

Palo Alto Prisma Cloud 구성

  1. 관리자 계정으로 Palo Alto Prisma Cloud Console에 로그인합니다.
  2. Settings(설정) 메뉴에서 Access Keys(액세스 키)를 클릭합니다.
  3. Add New(새로 추가)를 클릭하고 Name(이름)을 입력합니다.

  4. 만들기를 클릭합니다. Access Key ID(액세스 키 ID)Secret Key(보안 비밀 키) 값이 나타납니다.

  5. Access Key ID(액세스 키 ID)Secret Key(보안 비밀 키) 값을 저장합니다. 이러한 값은 Google Security Operations 피드를 구성할 때 필요합니다.

Palo Alto Prisma Cloud 로그를 수집하도록 Google Security Operations 피드 구성

  1. SIEM 설정 > 피드로 이동합니다.
  2. 새 항목 추가를 클릭합니다.
  3. 필드 이름의 고유한 이름을 입력합니다.
  4. 소스 유형으로 서드 파티 API를 선택합니다.
  5. 로그 유형으로 Palo Alto Prisma Cloud를 선택합니다.
  6. 다음을 클릭합니다.
  7. 다음 필수 입력 매개변수를 구성합니다.
    • 사용자 이름: 이전에 가져온 액세스 키 ID를 지정합니다.
    • 비밀번호: 이전에 가져온 보안 비밀 키를 지정합니다.
    • API 호스트 이름: API 호스트 이름을 지정합니다.
  8. 다음을 클릭한 후 제출을 클릭합니다.

Google Security Operations 피드에 대한 자세한 내용은 Google Security Operations 피드 문서를 참조하세요. 각 피드 유형의 요구사항은 유형별 피드 구성을 참고하세요.

피드를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

필드 매핑 참조

이 파서 코드는 JSON 형식의 PAN PRISMA CLOUD 로그에서 필드를 추출하고 데이터 변환 및 매핑을 실행하여 데이터를 Chronicle UDM 스키마로 구성합니다. 중첩된 객체 및 배열을 비롯한 다양한 로그 메시지 구조를 처리하여 Chronicle 내에서 분석할 다양한 보안 이벤트와 문맥 정보를 정규화합니다.

UDM 매핑 표

로그 필드 UDM 매핑 논리
accountName read_only_udm.target.resource.attribute.cloud.project.id accountName 필드에서 직접 매핑됩니다.
accountId read_only_udm.target.hostname accountId 필드에서 직접 매핑됩니다.
accountId read_only_udm.target.asset.hostname accountId 필드에서 직접 매핑됩니다.
accountId read_only_udm.principal.cloud.project.id aggregatedAlerts 배열의 accountId 필드에서 직접 매핑됩니다.
action read_only_udm.security_result.description JSON 부분을 삭제한 후 action 필드에서 직접 매핑됩니다.
alertId read_only_udm.metadata.product_log_id alertId 필드에서 직접 매핑됩니다.
alertRules.0.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_0 alertRules.0.allowAutoRemediate 필드에서 직접 매핑됩니다.
alertRules.0.enabled read_only_udm.security_result.detection_fields.enabled_0 alertRules.0.enabled 필드에서 직접 매핑됩니다.
alertRules.0.name read_only_udm.security_result.detection_fields.name_0 alertRules.0.name 필드에서 직접 매핑됩니다.
alertRules.0.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_0 alertRules.0.notifyOnDismissed 필드에서 직접 매핑됩니다.
alertRules.0.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_0 alertRules.0.notifyOnOpen 필드에서 직접 매핑됩니다.
alertRules.0.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_0 alertRules.0.notifyOnResolved 필드에서 직접 매핑됩니다.
alertRules.0.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_0 alertRules.0.notifyOnSnoozed 필드에서 직접 매핑됩니다.
alertRules.0.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_0 alertRules.0.policyScanConfigId 필드에서 직접 매핑됩니다.
alertRules.0.scanAll read_only_udm.security_result.detection_fields.scanAll_0 alertRules.0.scanAll 필드에서 직접 매핑됩니다.
alertRules.1.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_1 alertRules.1.allowAutoRemediate 필드에서 직접 매핑됩니다.
alertRules.1.createdBy read_only_udm.principal.user.email_addresses alertRules.1.createdBy 필드에서 직접 매핑됩니다.
alertRules.1.enabled read_only_udm.security_result.detection_fields.enabled_1 alertRules.1.enabled 필드에서 직접 매핑됩니다.
alertRules.1.name read_only_udm.security_result.detection_fields.name_1 alertRules.1.name 필드에서 직접 매핑됩니다.
alertRules.1.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_1 alertRules.1.notifyOnDismissed 필드에서 직접 매핑됩니다.
alertRules.1.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_1 alertRules.1.notifyOnOpen 필드에서 직접 매핑됩니다.
alertRules.1.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_1 alertRules.1.notifyOnResolved 필드에서 직접 매핑됩니다.
alertRules.1.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_1 alertRules.1.notifyOnSnoozed 필드에서 직접 매핑됩니다.
alertRules.1.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_1 alertRules.1.policyScanConfigId 필드에서 직접 매핑됩니다.
alertRules.1.scanAll read_only_udm.security_result.detection_fields.scanAll_1 alertRules.1.scanAll 필드에서 직접 매핑됩니다.
alertRules.2.allowAutoRemediate read_only_udm.security_result.detection_fields.allowAutoRemediate_2 alertRules.2.allowAutoRemediate 필드에서 직접 매핑됩니다.
alertRules.2.createdBy read_only_udm.principal.user.email_addresses alertRules.2.createdBy 필드에서 직접 매핑됩니다.
alertRules.2.enabled read_only_udm.security_result.detection_fields.enabled_2 alertRules.2.enabled 필드에서 직접 매핑됩니다.
alertRules.2.name read_only_udm.security_result.detection_fields.name_2 alertRules.2.name 필드에서 직접 매핑됩니다.
alertRules.2.notifyOnDismissed read_only_udm.security_result.detection_fields.notifyOnDismissed_2 alertRules.2.notifyOnDismissed 필드에서 직접 매핑됩니다.
alertRules.2.notifyOnOpen read_only_udm.security_result.detection_fields.notifyOnOpen_2 alertRules.2.notifyOnOpen 필드에서 직접 매핑됩니다.
alertRules.2.notifyOnResolved read_only_udm.security_result.detection_fields.notifyOnResolved_2 alertRules.2.notifyOnResolved 필드에서 직접 매핑됩니다.
alertRules.2.notifyOnSnoozed read_only_udm.security_result.detection_fields.notifyOnSnoozed_2 alertRules.2.notifyOnSnoozed 필드에서 직접 매핑됩니다.
alertRules.2.policyScanConfigId read_only_udm.security_result.detection_fields.policyScanConfigId_2 alertRules.2.policyScanConfigId 필드에서 직접 매핑됩니다.
alertRules.2.scanAll read_only_udm.security_result.detection_fields.scanAll_2 alertRules.2.scanAll 필드에서 직접 매핑됩니다.
alertRuleId read_only_udm.security_result.rule_id alertRuleId 필드에서 직접 매핑됩니다.
alertRuleName read_only_udm.security_result.rule_name alertRuleName 필드에서 직접 매핑됩니다.
alertStatus read_only_udm.security_result.detection_fields.event message alertStatus event_data.msg_data 객체의 alertStatus 필드에서 직접 매핑됩니다.
alertTs read_only_udm.metadata.event_timestamp.seconds UNIX 타임스탬프로 변환한 후 alertTs 필드에서 직접 매핑됩니다.
alertTs read_only_udm.metadata.event_timestamp.nanos UNIX 타임스탬프로 변환한 후 alertTs 필드에서 직접 매핑됩니다.
callbackUrl read_only_udm.metadata.url_back_to_product callbackUrl 필드에서 직접 매핑됩니다.
cloudServiceName read_only_udm.target.resource.attribute.labels.cloudServiceName cloudServiceName 필드에서 직접 매핑됩니다.
cloudType read_only_udm.target.resource.attribute.cloud.environment cloudType 필드에서 매핑되었습니다. cloudType이 'gcp'인 경우 값은 'GOOGLE_CLOUD_PLATFORM'으로 설정됩니다. cloudType이 'aws'인 경우 값은 'AMAZON_WEB_SERVICES'로 설정됩니다.
complianceMetadata.0.requirementId read_only_udm.security_result.rule_id complianceMetadata.0.requirementId 필드에서 직접 매핑됩니다.
complianceMetadata.0.requirementName read_only_udm.security_result.summary complianceMetadata.0.requirementName 필드에서 직접 매핑됩니다.
complianceMetadata.0.standardName read_only_udm.security_result.rule_name complianceMetadata.0.standardName 필드에서 직접 매핑됩니다.
complianceMetadata.1.requirementId read_only_udm.security_result.rule_id complianceMetadata.1.requirementId 필드에서 직접 매핑됩니다.
complianceMetadata.1.requirementName read_only_udm.security_result.summary complianceMetadata.1.requirementName 필드에서 직접 매핑됩니다.
complianceMetadata.1.standardName read_only_udm.security_result.rule_name complianceMetadata.1.standardName 필드에서 직접 매핑됩니다.
complianceMetadata.2.requirementId read_only_udm.security_result.rule_id complianceMetadata.2.requirementId 필드에서 직접 매핑됩니다.
complianceMetadata.2.requirementName read_only_udm.security_result.summary complianceMetadata.2.requirementName 필드에서 직접 매핑됩니다.
complianceMetadata.2.standardName read_only_udm.security_result.rule_name complianceMetadata.2.standardName 필드에서 직접 매핑됩니다.
complianceMetadata.3.requirementId read_only_udm.security_result.rule_id complianceMetadata.3.requirementId 필드에서 직접 매핑됩니다.
complianceMetadata.3.requirementName read_only_udm.security_result.summary complianceMetadata.3.requirementName 필드에서 직접 매핑됩니다.
complianceMetadata.3.standardName read_only_udm.security_result.rule_name complianceMetadata.3.standardName 필드에서 직접 매핑됩니다.
complianceMetadata.4.requirementId read_only_udm.security_result.rule_id complianceMetadata.4.requirementId 필드에서 직접 매핑됩니다.
complianceMetadata.4.requirementName read_only_udm.security_result.summary complianceMetadata.4.requirementName 필드에서 직접 매핑됩니다.
complianceMetadata.4.standardName read_only_udm.security_result.rule_name complianceMetadata.4.standardName 필드에서 직접 매핑됩니다.
event_data.app read_only_udm.target.application event_data.app 필드에서 직접 매핑됩니다.
event_data.msg_data.account.cloudType read_only_udm.target.resource.attribute.cloud.environment event_data.msg_data.account.cloudType 필드에서 매핑되었습니다. 값이 'aws'인 경우 'AMAZON_WEB_SERVICES'로 설정됩니다.
event_data.msg_data.account.id read_only_udm.target.cloud.project.id event_data.msg_data.account.id 필드에서 직접 매핑됩니다.
event_data.msg_data.account.name read_only_udm.target.cloud.project.name event_data.msg_data.account.name 필드에서 직접 매핑됩니다.
event_data.msg_data.accountIDs read_only_udm.principal.resource.attribute.labels.event message accountId {index} event_data.msg_data.accountIDs 배열에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.category read_only_udm.security_result.category_details event_data.msg_data.aggregatedAlerts.0.category 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.command read_only_udm.principal.process.command_line event_data.msg_data.aggregatedAlerts.0.command 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.collections read_only_udm.target.resource.attribute.labels.Collection {index} event_data.msg_data.aggregatedAlerts.0.collections 배열에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category read_only_udm.security_result.category_details event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description read_only_udm.security_result.description event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity read_only_udm.security_result.severity 대문자로 변환한 후 event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title read_only_udm.security_result.action_details event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.container read_only_udm.target.resource.name event_data.msg_data.aggregatedAlerts.0.container 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.containerID read_only_udm.target.resource.product_object_id event_data.msg_data.aggregatedAlerts.0.containerID 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.fqdn read_only_udm.principal.domain.name event_data.msg_data.aggregatedAlerts.0.fqdn 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.host read_only_udm.principal.hostname event_data.msg_data.aggregatedAlerts.0.host 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.host read_only_udm.principal.asset.hostname event_data.msg_data.aggregatedAlerts.0.host 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.image read_only_udm.target.resource.attribute.labels.image event_data.msg_data.aggregatedAlerts.0.image 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.imageID read_only_udm.target.resource.attribute.labels.imageID event_data.msg_data.aggregatedAlerts.0.imageID 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.labels.controller-uid read_only_udm.target.user.product_object_id event_data.msg_data.aggregatedAlerts.0.labels.controller-uid 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name read_only_udm.target.hostname event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid read_only_udm.target.resource.product_object_id event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.msg_data read_only_udm.security_result.description event_data.msg_data.aggregatedAlerts.0.msg_data 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.rule read_only_udm.security_result.rule_name event_data.msg_data.aggregatedAlerts.0.rule 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.startupProcess read_only_udm.principal.application event_data.msg_data.aggregatedAlerts.0.startupProcess 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.time read_only_udm.metadata.event_timestamp.seconds UNIX 타임스탬프로 변환한 후 event_data.msg_data.aggregatedAlerts.0.time 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.time read_only_udm.metadata.event_timestamp.nanos UNIX 타임스탬프로 변환한 후 event_data.msg_data.aggregatedAlerts.0.time 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.type read_only_udm.security_result.category_details event_data.msg_data.aggregatedAlerts.0.type 필드에서 직접 매핑됩니다.
event_data.msg_data.aggregatedAlerts.0.user read_only_udm.principal.user.userid event_data.msg_data.aggregatedAlerts.0.user 필드에서 직접 매핑됩니다.
event_data.msg_data.alertId read_only_udm.security_result.detection_fields.event message alertId event_data.msg_data.alertId 필드에서 직접 매핑됩니다.
event_data.msg_data.alertRuleId read_only_udm.security_result.rule_id event_data.msg_data.alertRuleId 필드에서 직접 매핑됩니다.
event_data.msg_data.alertRuleName read_only_udm.security_result.rule_name event_data.msg_data.alertRuleName 필드에서 직접 매핑됩니다.
event_data.msg_data.alertStatus read_only_udm.security_result.detection_fields.event message alertStatus event_data.msg_data.alertStatus 필드에서 직접 매핑됩니다.
event_data.msg_data.alertTs read_only_udm.metadata.event_timestamp.seconds UNIX 타임스탬프로 변환한 후 event_data.msg_data.alertTs 필드에서 직접 매핑됩니다.
event_data.msg_data.alertTs read_only_udm.metadata.event_timestamp.nanos UNIX 타임스탬프로 변환한 후 event_data.msg_data.alertTs 필드에서 직접 매핑됩니다.
event_data.msg_data.category read_only_udm.security_result.category_details event_data.msg_data.category 필드에서 직접 매핑됩니다.
event_data.msg_data.collections read_only_udm.target.resource.attribute.labels.Collection {index} event_data.msg_data.collections 배열에서 직접 매핑됩니다.
event_data.msg_data.command read_only_udm.principal.process.command_line event_data.msg_data.command 필드에서 직접 매핑됩니다.
event_data.msg_data.complianceIssues.0.category read_only_udm.security_result.category_details event_data.msg_data.complianceIssues.0.category 필드에서 직접 매핑됩니다.
event_data.msg_data.complianceIssues.0.description read_only_udm.security_result.description event_data.msg_data.complianceIssues.0.description 필드에서 직접 매핑됩니다.
event_data.msg_data.complianceIssues.0.severity read_only_udm.security_result.severity 대문자로 변환한 후 event_data.msg_data.complianceIssues.0.severity 필드에서 직접 매핑됩니다.
event_data.msg_data.complianceIssues.0.title read_only_udm.security_result.action_details event_data.msg_data.complianceIssues.0.title 필드에서 직접 매핑됩니다.
event_data.msg_data.container read_only_udm.target.resource.name event_data.msg_data.container 필드에서 직접 매핑됩니다.
event_data.msg_data.containerID read_only_udm.target.resource.product_object_id event_data.msg_data.containerID 필드에서 직접 매핑됩니다.
event_data.msg_data.dropped read_only_udm.security_result.detection_fields.dropped 문자열로 변환한 후 event_data.msg_data.dropped 필드에서 직접 매핑됩니다.
event_data.msg_data.fqdn read_only_udm.principal.domain.name event_data.msg_data.fqdn 필드에서 직접 매핑됩니다.
event_data.msg_data.firstSeen read_only_udm.security_result.first_discovered_time.seconds UNIX 타임스탬프로 변환한 후 event_data.msg_data.firstSeen 필드에서 직접 매핑됩니다.
event_data.msg_data.firstSeen read_only_udm.security_result.first_discovered_time.nanos UNIX 타임스탬프로 변환한 후 event_data.msg_data.firstSeen 필드에서 직접 매핑됩니다.
event_data.msg_data.host read_only_udm.principal.hostname event_data.msg_data.host 필드에서 직접 매핑됩니다.
event_data.msg_data.host read_only_udm.principal.asset.hostname event_data.msg_data.host 필드에서 직접 매핑됩니다.
event_data.msg_data.image read_only_udm.target.resource.attribute.labels.image event_data.msg_data.image 필드에서 직접 매핑됩니다.
event_data.msg_data.imageID read_only_udm.target.resource.attribute.labels.imageID event_data.msg_data.imageID 필드에서 직접 매핑됩니다.
event_data.msg_data.labels.controller-uid read_only_udm.target.user.product_object_id event_data.msg_data.labels.controller-uid 필드에서 직접 매핑됩니다.
event_data.msg_data.labels.io.kubernetes.pod.name read_only_udm.target.hostname event_data.msg_data.labels.io.kubernetes.pod.name 필드에서 직접 매핑됩니다.
event_data.msg_data.labels.io.kubernetes.pod.uid read_only_udm.target.resource.product_object_id event_data.msg_data.labels.io.kubernetes.pod.uid 필드에서 직접 매핑됩니다.
event_data.msg_data.lastSeen read_only_udm.security_result.last_discovered_time.seconds UNIX 타임스탬프로 변환한 후 event_data.msg_data.lastSeen 필드에서 직접 매핑됩니다.
event_data.msg_data.lastSeen read_only_udm.security_result.last_discovered_time.nanos UNIX 타임스탬프로 변환한 후 event_data.msg_data.lastSeen 필드에서 직접 매핑됩니다.
event_data.msg_data.metadata.cveCritical read_only_udm.security_result.detection_fields.event_data metadata cveCritical event_data.msg_data.metadata.cveCritical 필드에서 직접 매핑됩니다.
event_data.msg_data.metadata.cveHigh read_only_udm.security_result.detection_fields.event_data metadata cveHigh event_data.msg_data.metadata.cveHigh 필드에서 직접 매핑됩니다.
event_data.msg_data.metadata.cveLow read_only_udm.security_result.detection_fields.event_data metadata cveLow event_data.msg_data.metadata.cveLow 필드에서 직접 매핑됩니다.
event_data.msg_data.metadata.cveMedium read_only_udm.security_result.detection_fields.event_data metadata cveMedium event_data.msg_data.metadata.cveMedium 필드에서 직접 매핑됩니다.
event_data.msg_data.metadata.source read_only_udm.principal.hostname event_data.msg_data.metadata.source 필드에서 직접 매핑됩니다.
event_data.msg_data.metadata.source read_only_udm.principal.asset.hostname event_data.msg_data.metadata.source 필드에서 직접 매핑됩니다.
event_data.msg_data.msg_data read_only_udm.security_result.description event_data.msg_data.msg_data 필드에서 직접 매핑됩니다.
event_data.msg_data.policy.description read_only_udm.security_result.description event_data.msg_data.policy.description 필드에서 직접 매핑됩니다.
event_data.msg_data.policy.id read_only_udm.security_result.detection_fields.policy_id event_data.msg_data.policy.id 필드에서 직접 매핑됩니다.
event_data.msg_data.policy.name read_only_udm.security_result.summary event_data.msg_data.policy.name 필드에서 직접 매핑됩니다.
event_data.msg_data.policy.policyTs read_only_udm.additional.fields.policy_ts event_data.msg_data.policy.policyTs 필드에서 직접 매핑됩니다.
event_data.msg_data.policy.policyType read_only_udm.security_result.threat_name event_data.msg_data.policy.policyType 필드에서 직접 매핑됩니다.
event_data.msg_data.policy.recommendation read_only_udm.security_result.action_details event_data.msg_data.policy.recommendation 필드에서 직접 매핑됩니다.
event_data.msg_data.policy.severity read_only_udm.security_result.severity 대문자로 변환한 후 event_data.msg_data.policy.severity 필드에서 직접 매핑됩니다.
event_data.msg_data.reason read_only_udm.security_result.detection_fields.event message reason event_data.msg_data.reason 필드에서 직접 매핑됩니다.
event_data.msg_data.region read_only_udm.target.cloud.availability_zone event_data.msg_data.region 필드에서 직접 매핑됩니다.
event_data.msg_data.resource.resourceId read_only_udm.target.resource.product_object_id event_data.msg_data.resource.resourceId 필드에서 직접 매핑됩니다.
event_data.msg_data.resource.resourceName read_only_udm.target.resource.name event_data.msg_data.resource.resourceName 필드에서 직접 매핑됩니다.
event_data.msg_data.resource.resourceTs read_only_udm.target.resource.attribute.creation_time.seconds UNIX 타임스탬프로 변환한 후 event_data.msg_data.resource.resourceTs 필드에서 직접 매핑됩니다.
event_data.msg_data.resource.resourceTs read_only_udm.target.resource.attribute.creation_time.nanos UNIX 타임스탬프로 변환한 후 event_data.msg_data.resource.resourceTs 필드에서 직접 매핑됩니다.
event_data.msg_data.rule read_only_udm.security_result.rule_name event_data.msg_data.rule 필드에서 직접 매핑됩니다.
event_data.msg_data.service read_only_udm.security_result.detection_fields.event message service event_data.msg_data.service 필드에서 직접 매핑됩니다.
event_data.msg_data.startupProcess read_only_udm.principal.application event_data.msg_data.startupProcess 필드에서 직접 매핑됩니다.
event_data.msg_data.time read_only_udm.metadata.event_timestamp.seconds UNIX 타임스탬프로 변환한 후 event_data.msg_data.time 필드에서 직접 매핑됩니다.
event_data.msg_data.time read_only_udm.metadata.event_timestamp.nanos UNIX 타임스탬프로 변환한 후 event_data.msg_data.time 필드에서 직접 매핑됩니다.
event_data.msg_data.type read_only_udm.security_result.category_details event_data.msg_data.type 필드에서 직접 매핑됩니다.
event_data.sentTs read_only_udm.metadata.event_timestamp.seconds UNIX 타임스탬프로 변환한 후 event_data.sentTs 필드에서 직접 매핑됩니다.
event_data.sentTs read_only_udm.metadata.event_timestamp.nanos UNIX 타임스탬프로 변환한 후 event_data.sentTs 필드에서 직접 매핑됩니다.
event_data.type read_only_udm.security_result.category_details event_data.type 필드에서 직접 매핑됩니다.
ipAddress read_only_udm.principal.ip grok를 사용하여 IP 주소를 추출한 후 ipAddress 필드에서 직접 매핑됩니다.
ipAddress read_only_udm.principal.asset.ip grok를 사용하여 IP 주소를 추출한 후 ipAddress 필드에서 직접 매핑됩니다.
ipAddress read_only_udm.additional.fields.ipAddress 올바른 IP 주소가 아닌 경우 ipAddress 필드에서 직접 매핑됩니다.
json_action.0.policy_id read_only_udm.target.resource.attribute.labels.정책 ID 0 json_action.0.policy_id 필드에서 직접 매핑됩니다.
json_action.0.resource_name read_only_udm.target.resource.attribute.labels.Resource Name 0 json_action.0.resource_name 필드에서 직접 매핑됩니다.
json_action.1.policy_id read_only_udm.target.resource.attribute.labels.Policy Id 1 json_action.1.policy_id 필드에서 직접 매핑됩니다.
json_action.1.resource_name read_only_udm.target.resource.attribute.labels.Resource Name 1 json_action.1.resource_name 필드에서 직접 매핑됩니다.
policy.policyId read_only_udm.security_result.rule_id policy.policyId 필드에서 직접 매핑됩니다.
policy.policyType read_only_udm.security_result.rule_type policy.policyType 필드에서 직접 매핑됩니다.
policy.recommendation read_only_udm.metadata.description policy.recommendation 필드에서 직접 매핑됩니다.
policy.severity read_only_udm.security_result.severity policy.severity 필드에서 매핑되었습니다. 값이 'info'인 경우 'INFORMATIONAL'로 설정됩니다.
policyName read_only_udm.metadata.description policyName 필드에서 직접 매핑됩니다.
reason read_only_udm.metadata.product_event_type reason 필드에서 직접 매핑됩니다.
resource.accountId read_only_udm.target.resource.product_object_id resource.accountId 필드에서 직접 매핑됩니다.
resource.cloudServiceName read_only_udm.target.resource.attribute.labels.cloudServiceName resource.cloudServiceName 필드에서 직접 매핑됩니다.
resource.data.architecture read_only_udm.principal.asset.hardware.cpu_platform resource.data.architecture 필드에서 직접 매핑됩니다.
resource.data.cpuPlatform read_only_udm.additional.fields.CPU Platform resource.data.cpuPlatform 필드에서 직접 매핑됩니다.
resource.data.labelFingerprint read_only_udm.security_result.detection_fields.labelFingerprint resource.data.labelFingerprint 필드에서 직접 매핑됩니다.
resource.data.metadata.items.key read_only_udm.additional.fields.key resource.data.metadata.items.key 필드에서 직접 매핑됩니다.
resource.data.metadata.items.value read_only_udm.additional.fields.value.string_value resource.data.metadata.items.value 필드에서 직접 매핑됩니다.
resource.data.networkInterfaces.0.accessConfigs.0.natIP read_only_udm.target.nat_ip resource.data.networkInterfaces.0.accessConfigs.0.natIP 필드에서 직접 매핑됩니다.
resource.data.networkInterfaces.0.networkIP read_only_udm.target.ip resource.data.networkInterfaces.0.networkIP 필드에서 직접 매핑됩니다.
resource.data.networkInterfaces.0.networkIP read_only_udm.target.asset.ip resource.data.networkInterfaces.0.networkIP 필드에서 직접 매핑됩니다.
resource.data.physicalBlockSizeBytes read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes 문자열로 변환한 후 resource.data.physicalBlockSizeBytes 필드에서 직접 매핑됩니다.
resource.data.selfLink read_only_udm.about.url resource.data.selfLink 필드에서 직접 매핑됩니다.
resource.data.serviceAccounts.0.email read_only_udm.principal.user.email_addresses resource.data.serviceAccounts.0.email 필드에서 직접 매핑됩니다.
resource.data.serviceAccounts.0.email read_only_udm.principal.user.attribute.roles.type resource.data.serviceAccounts.0.email에 'serviceaccount'가 포함된 경우 값이 'SERVICE_ACCOUNT'로 설정됩니다.
resource.data.sizeGb read_only_udm.principal.resource.attribute.labels.sizeGb resource.data.sizeGb 필드에서 직접 매핑됩니다.
resource.data.sourceImage read_only_udm.principal.resource.attribute.labels.sourceImage resource.data.sourceImage 필드에서 직접 매핑됩니다.
resource.name read_only_udm.target.resource.name resource.name 필드에서 직접 매핑됩니다.
resource.regionId read_only_udm.target.location.country_or_region `resource

변경사항

2024-03-28

  • 'ipAddress'가 유효한 IP 주소가 아닌 경우 'ipAddress'가 'additional.fields'에 매핑되었습니다.
  • 'user'가 유효한 이메일 주소인 경우 'user'를 'target.user.email_addresses'에 매핑했습니다.
  • 'user'가 유효한 이메일 주소가 아닌 경우 'user'가 'target.user.userid'에 매핑되었습니다.
  • 'action' 필드의 'policy_id' 및 'resource_name' 필드가 'target.resource.attribute.labels'에 매핑되었습니다.

2024-02-21

  • '날짜' 블록에 'on_error' 검사를 추가했습니다.
  • 'alertRules'가 'sec_result.detection_fields'에 매핑되었습니다.
  • 'policy.policyId'가 'sec_result.rule_id'에 매핑되었습니다.
  • 'policy.policyType'이 'sec_result.rule_type'에 매핑되었습니다.
  • 'policy.severity'가 'sec_result.severity'에 매핑되었습니다.
  • 'policy.recommendation'이 'metadata.description'에 매핑되었습니다.
  • 'resource.data.architecture'가 'principal.asset.hardware.cpu_platform'에 매핑되었습니다.
  • 'resource.name'이 'target.resource.name'에 매핑되었습니다.
  • 'resource.accountId'가 'target.resource.product_object_id'에 매핑되었습니다.
  • 'resource.regionId'가 'target.location.country_or_region'에 매핑되었습니다.
  • 'resource.cloudServiceName'이 'target.resource.attribute.labels'에 매핑되었습니다.
  • 'resource.resourceApiName'이 'target.resource.attribute.labels'에 매핑되었습니다.
  • 'alertrule.createdBy'가 'principal.user.email_addresses'에 매핑되었습니다.
  • 'resource.unifiedAssetId'가 'principal.asset.asset_id'에 매핑되었습니다.
  • 'resource.data.selfLink'가 'about.url'에 매핑되었습니다.
  • 'resource.data.sourceImage'가 'principal.resource.attribute.labels'에 매핑되었습니다.
  • 'resource.data.sizeGb'가 'principal.resource.attribute.labels'에 매핑되었습니다.
  • 'resource.data.physicalBlockSizeBytes'가 'principal.resource.attribute.labels'에 매핑되었습니다.
  • 'resource.data.labelFingerprint'가 'sec_result.detection_fields'에 매핑되었습니다.
  • 'reason'이 'NEW_ALERT'인 경우 'metadata.event_type'을 'USER_RESOURCE_CREATION'으로 설정합니다.

2024-02-13

  • 새 고객 로그에 대한 지원이 추가되었습니다.

2022-08-09

  • '타임스탬프' 필드에 대한 조건부 전환 검사가 추가되었습니다.
  • 'resourceType' 필드의 값이 'Login'인 경우 다음 매핑이 추가되었습니다.
  • 'ipAddress' 필드가 'principal.ip'에 매핑됩니다.
  • 'user' 필드가 'target.user.email_addresses'에 매핑됩니다.
  • 'result' 필드가 'security_result.action_details'에 매핑됩니다.