SentinelOne EDR 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Google Security Operations 피드를 설정하여 SentinelOne EDR 로그를 수집하는 방법을 설명합니다.
자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 SENTINEL_EDR 수집 라벨이 있는 파서에 적용됩니다.
SentinelOne EDR 구성
- 보기 권한 사용자 계정으로 기기 관리 콘솔에 로그인합니다.
- 사용자 이름 > 내 사용자를 선택합니다.
- 대화상자에서 API 토큰 생성을 클릭합니다.
- API 토큰을 복사하여 저장합니다.
SentinelOne EDR 로그를 수집하도록 Google Security Operations에서 피드 구성
- SIEM 설정 > 피드로 이동합니다.
- 새 항목 추가를 클릭합니다.
- 필드 이름의 고유한 이름을 입력합니다.
- 소스 유형으로 Google Cloud Storage를 선택합니다.
- 로그 유형으로 SentinelOne EDR을 선택합니다.
- 서비스 계정 가져오기를 클릭합니다. Google Security Operations는 Google Security Operations에서 데이터를 수집하는 데 사용하는 고유한 서비스 계정을 제공합니다.
- Cloud Storage 객체에 액세스하도록 서비스 계정의 액세스 권한을 구성합니다. 자세한 내용은 Google Security Operations 서비스 계정에 대한 액세스 권한 부여를 참고하세요.
- 다음을 클릭합니다.
- 다음 필수 입력 매개변수를 구성합니다.
- 스토리지 버킷 URI
- URI
- 소스 삭제 옵션
- 다음을 클릭한 후 제출을 클릭합니다.
Google Security Operations 피드에 대한 자세한 내용은 Google Security Operations 피드 문서를 참조하세요. 각 피드 유형의 요구사항은 유형별 피드 구성을 참고하세요.
피드를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.
필드 매핑 참조
이 파서는 SentinelOne EDR 로그를 추출하여 UDM으로 변환하고 기존 및 Cloud Funnel (v1 및 v2) 형식을 모두 처리합니다. 이벤트 유형 및 데이터 소스에 기반한 조건부 로직을 활용하여 네트워크 연결, 프로세스 이벤트, 파일 및 레지스트리 활동, 예약된 작업, 위협 인텔리전스 지표를 비롯한 광범위한 필드 매핑을 실행합니다. 또한 파서는 MITRE ATT&CK 프레임워크 매핑과 타임스탬프 변환, 문자열 조작과 같은 다양한 데이터 정규화 작업을 처리합니다.
SentinelOne 파서 UDM 매핑
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
@timestamp |
metadata.event_timestamp |
SentinelOne에서 기록한 이벤트의 타임스탬프입니다. 원시 로그의 @timestamp 필드에서 파싱됩니다. |
agentDetectionInfo.accountId |
metadata.product_deployment_id |
SentinelOne의 계정 ID입니다. |
agentDetectionInfo.accountName |
principal.administrative_domain |
SentinelOne의 계정 이름입니다. |
agentDetectionInfo.agentDomain |
principal.administrative_domain |
상담사의 도메인입니다. |
agentDetectionInfo.agentIpV4 |
principal.ip, principal.asset.ip |
상담사의 IPv4 주소입니다. |
agentDetectionInfo.agentLastLoggedInUserName |
principal.user.user_display_name |
상담사에서 마지막으로 로그인한 사용자의 사용자 이름입니다. |
agentDetectionInfo.agentMachineType |
principal.asset.machine_type |
상담사가 설치된 머신 유형입니다 (예: 데스크톱, 서버, 노트북). |
agentDetectionInfo.agentMitigationMode |
해당 사항 없음 | 상담사의 완화 모드입니다. UDM에 매핑되지 않았습니다. |
agentDetectionInfo.agentNetworkStatus |
해당 사항 없음 | 상담사의 네트워크 상태입니다. UDM에 매핑되지 않았습니다. |
agentDetectionInfo.agentOsName |
principal.asset.platform_software.platform |
에이전트의 운영체제 이름입니다. |
agentDetectionInfo.agentOsRevision |
principal.asset.platform_software.platform_version |
에이전트의 운영체제 버전입니다. |
agentDetectionInfo.agentRegisteredAt |
principal.asset.first_discover_time |
상담사가 등록된 시점의 타임스탬프입니다. |
agentDetectionInfo.agentUuid |
principal.asset.asset_id, principal.asset.product_object_id |
상담사의 UUID입니다. '기기 ID: {uuid}' 형식입니다. |
agentDetectionInfo.agentVersion |
metadata.product_version |
SentinelOne 에이전트 버전입니다. |
agentDetectionInfo.externalIp |
principal.ip, principal.asset.ip |
상담사의 외부 IP 주소입니다. |
agentDetectionInfo.groupId |
principal.user.group_identifiers |
상담사가 속한 그룹의 ID입니다. |
agentDetectionInfo.groupName |
principal.group.group_display_name |
상담사가 속한 그룹의 이름입니다. |
agentDetectionInfo.siteId |
principal.namespace |
상담사가 속한 사이트의 ID입니다. |
agentDetectionInfo.siteName |
principal.location.name |
상담사가 속한 사이트의 이름입니다. |
agentRealtimeInfo.accountId |
metadata.product_deployment_id |
SentinelOne의 계정 ID입니다. |
agentRealtimeInfo.accountName |
principal.administrative_domain |
SentinelOne의 계정 이름입니다. |
agentRealtimeInfo.activeThreats |
해당 사항 없음 | 상담사의 활성 위협 수입니다. UDM에 매핑되지 않았습니다. |
agentRealtimeInfo.agentComputerName |
principal.hostname, principal.asset.hostname |
상담사 컴퓨터의 호스트 이름입니다. |
agentRealtimeInfo.agentDecommissionedAt |
해당 사항 없음 | 상담사가 지원 중단되었는지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
agentRealtimeInfo.agentDomain |
principal.administrative_domain |
상담사의 도메인입니다. |
agentRealtimeInfo.agentId |
해당 사항 없음 | 상담사의 ID입니다. UDM에 매핑되지 않았습니다. |
agentRealtimeInfo.agentInfected |
해당 사항 없음 | 에이전트가 감염되었는지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
agentRealtimeInfo.agentIsActive |
해당 사항 없음 | 에이전트가 활성 상태인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
agentRealtimeInfo.agentIsDecommissioned |
해당 사항 없음 | 상담사가 지원 중단되었는지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
agentRealtimeInfo.agentMachineType |
principal.asset.machine_type |
상담사가 설치된 머신 유형입니다 (예: 데스크톱, 서버, 노트북). |
agentRealtimeInfo.agentMitigationMode |
해당 사항 없음 | 상담사의 완화 모드입니다. UDM에 매핑되지 않았습니다. |
agentRealtimeInfo.agentNetworkStatus |
해당 사항 없음 | 상담사의 네트워크 상태입니다. UDM에 매핑되지 않았습니다. |
agentRealtimeInfo.agentOsName |
principal.asset.platform_software.platform |
에이전트의 운영체제 이름입니다. |
agentRealtimeInfo.agentOsRevision |
principal.asset.platform_software.platform_version |
에이전트의 운영체제 버전입니다. |
agentRealtimeInfo.agentOsType |
principal.platform |
상담사의 운영체제 유형입니다. |
agentRealtimeInfo.agentUuid |
principal.asset.asset_id, principal.asset.product_object_id |
상담사의 UUID입니다. '기기 ID: {uuid}' 형식입니다. |
agentRealtimeInfo.agentVersion |
metadata.product_version |
SentinelOne 에이전트 버전입니다. |
agentRealtimeInfo.groupId |
principal.user.group_identifiers |
상담사가 속한 그룹의 ID입니다. |
agentRealtimeInfo.groupName |
principal.group.group_display_name |
상담사가 속한 그룹의 이름입니다. |
agentRealtimeInfo.networkInterfaces |
principal.ip, principal.asset.ip, principal.mac |
IP 주소 및 MAC 주소를 포함한 네트워크 인터페이스 정보 |
agentRealtimeInfo.operationalState |
해당 사항 없음 | 상담사의 작동 상태입니다. UDM에 매핑되지 않았습니다. |
agentRealtimeInfo.rebootRequired |
해당 사항 없음 | 재부팅이 필요한지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
agentRealtimeInfo.scanAbortedAt |
해당 사항 없음 | 스캔이 중단된 시점의 타임스탬프입니다. UDM에 매핑되지 않았습니다. |
agentRealtimeInfo.scanFinishedAt |
해당 사항 없음 | 스캔이 완료된 시점의 타임스탬프입니다. UDM에 매핑되지 않았습니다. |
agentRealtimeInfo.scanStartedAt |
해당 사항 없음 | 스캔이 시작된 시점의 타임스탬프입니다. UDM에 매핑되지 않았습니다. |
agentRealtimeInfo.scanStatus |
해당 사항 없음 | 스캔 상태입니다. UDM에 매핑되지 않았습니다. |
agentRealtimeInfo.siteId |
principal.namespace |
상담사가 속한 사이트의 ID입니다. |
agentRealtimeInfo.siteName |
principal.location.name |
상담사가 속한 사이트의 이름입니다. |
agentRealtimeInfo.storageName |
해당 사항 없음 | 저장소 이름입니다. UDM에 매핑되지 않았습니다. |
agentRealtimeInfo.storageType |
해당 사항 없음 | 스토리지 유형입니다. UDM에 매핑되지 않았습니다. |
agentRealtimeInfo.userActionsNeeded |
해당 사항 없음 | 사용자의 조치가 필요합니다. UDM에 매핑되지 않았습니다. |
batch.customer_id |
해당 사항 없음 | 고객 ID입니다. UDM에 매핑되지 않았습니다. |
batch.collector_id |
해당 사항 없음 | 수집자 ID입니다. UDM에 매핑되지 않았습니다. |
batch.type |
metadata.log_type |
일괄 처리 유형입니다. |
collection_time |
metadata.collected_timestamp |
로그가 수집된 시간입니다. |
create_time |
metadata.event_timestamp |
이벤트가 생성된 시간입니다. |
data |
(다양함) | SentinelOne 이벤트의 기본 데이터 페이로드입니다. 이 객체 내 필드는 이벤트 유형에 따라 다양한 UDM 필드에 매핑됩니다. |
event.activityType |
해당 사항 없음 | 활동 유형입니다. UDM에 매핑되지 않았습니다. |
event.agentId |
metadata.product_deployment_id |
상담사의 ID입니다. |
event.agentUpdatedVersion |
해당 사항 없음 | 업데이트된 에이전트 버전입니다. UDM에 매핑되지 않았습니다. |
event.comments |
해당 사항 없음 | 이벤트와 연결된 댓글입니다. UDM에 매핑되지 않았습니다. |
event.createdAt |
metadata.event_timestamp |
이벤트가 생성된 시간입니다. |
event.data |
(다양함) | 이벤트와 연결된 데이터입니다. 이 객체 내 필드는 이벤트 유형에 따라 다양한 UDM 필드에 매핑됩니다. |
event.description |
metadata.product_event_type |
이벤트에 대한 설명입니다. |
event.destinationAddress.address |
target.ip |
대상의 IP 주소입니다. |
event.destinationAddress.port |
target.port |
대상의 포트입니다. |
event.direction |
network.direction |
네트워크 연결의 방향입니다. 'INBOUND' 또는 'OUTBOUND'에 매핑됩니다. |
event.executable.commandLine |
principal.process.command_line, target.process.command_line |
실행 파일의 명령줄입니다. |
event.executable.creationTime.millisecondsSinceEpoch |
해당 사항 없음 | 실행 파일의 생성 시간입니다. UDM에 매핑되지 않았습니다. |
event.executable.full_path |
principal.process.file.full_path, target.process.file.full_path |
실행 파일의 전체 경로입니다. |
event.executable.hashes.md5 |
principal.process.file.md5, target.process.file.md5 |
실행 파일의 MD5 해시입니다. |
event.executable.hashes.sha1 |
principal.process.file.sha1, target.process.file.sha1 |
실행 파일의 SHA1 해시입니다. |
event.executable.hashes.sha256 |
principal.process.file.sha256, target.process.file.sha256 |
실행 파일의 SHA256 해시입니다. |
event.executable.isDir |
해당 사항 없음 | 실행 파일이 디렉터리인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.executable.isKernelModule |
해당 사항 없음 | 실행 파일이 커널 모듈인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.executable.name |
해당 사항 없음 | 실행 파일의 이름입니다. UDM에 매핑되지 않았습니다. |
event.executable.node.key.value |
해당 사항 없음 | 실행 파일의 노드 키 값입니다. UDM에 매핑되지 않았습니다. |
event.executable.owner.name |
해당 사항 없음 | 실행 파일의 소유자 이름입니다. UDM에 매핑되지 않았습니다. |
event.executable.owner.sid |
해당 사항 없음 | 실행 파일의 소유자 SID입니다. UDM에 매핑되지 않았습니다. |
event.executable.pUnix |
해당 사항 없음 | 실행 파일의 pUnix 값입니다. UDM에 매핑되지 않았습니다. |
event.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
서명된 실행 파일의 ID입니다. 'Source Signature Signed Identity: {identity}' 형식입니다. |
event.executable.signature.signed.valid |
해당 사항 없음 | 서명이 유효한지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.executable.signature.unsigned |
해당 사항 없음 | 실행 파일이 서명되지 않았는지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.executable.sizeBytes |
principal.process.file.size, target.process.file.size |
실행 파일의 크기(바이트)입니다. |
event.excluded |
해당 사항 없음 | 이벤트가 제외되었는지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.file.creationTime.millisecondsSinceEpoch |
해당 사항 없음 | 파일 생성 시간입니다. UDM에 매핑되지 않았습니다. |
event.file.full_path |
target.file.full_path |
파일의 전체 경로입니다. |
event.file.hashes.md5 |
target.process.file.md5 |
파일의 MD5 해시 |
event.file.hashes.sha1 |
target.process.file.sha1 |
파일의 SHA1 해시입니다. |
event.file.hashes.sha256 |
target.process.file.sha256 |
파일의 SHA256 해시입니다. |
event.file.isDir |
해당 사항 없음 | 파일이 디렉터리인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.file.isKernelModule |
해당 사항 없음 | 파일이 커널 모듈인지 나타냅니다. UDM에 매핑되지 않았습니다. |
event.file.node.key.value |
해당 사항 없음 | 파일의 노드 키 값입니다. UDM에 매핑되지 않았습니다. |
event.file.owner.name |
해당 사항 없음 | 파일의 소유자 이름입니다. UDM에 매핑되지 않았습니다. |
event.file.owner.sid |
해당 사항 없음 | 파일의 소유자 SID입니다. UDM에 매핑되지 않았습니다. |
event.file.pUnix |
해당 사항 없음 | 파일의 pUnix 값입니다. UDM에 매핑되지 않았습니다. |
event.file.signature.unsigned |
해당 사항 없음 | 파일이 서명되지 않았는지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.file.sizeBytes |
해당 사항 없음 | 파일 크기(바이트) UDM에 매핑되지 않았습니다. |
event.fullPid.pid |
principal.process.pid, target.process.pid |
프로세스 ID입니다. |
event.fullPid.startTime.millisecondsSinceEpoch |
해당 사항 없음 | 프로세스의 시작 시간입니다. UDM에 매핑되지 않았습니다. |
event.hashes.md5 |
target.file.md5 |
MD5 해시입니다. |
event.hashes.sha1 |
target.file.sha1 |
SHA1 해시입니다. |
event.hashes.sha256 |
target.file.sha256 |
SHA256 해시입니다. |
event.id |
metadata.product_log_id |
이벤트 ID입니다. |
event.interactive |
해당 사항 없음 | 이벤트가 양방향인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.isRedirectedCommandProcessor |
해당 사항 없음 | 이벤트가 리디렉션된 명령어 프로세서인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.isWow64 |
해당 사항 없음 | 이벤트가 WoW64인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.method |
network.http.method |
HTTP 메서드입니다. |
event.name |
해당 사항 없음 | 이벤트 이름입니다. UDM에 매핑되지 않았습니다. |
event.node.key.value |
해당 사항 없음 | 이벤트의 노드 키 값입니다. UDM에 매핑되지 않았습니다. |
event.oldHashes.md5 |
해당 사항 없음 | 이전 MD5 해시입니다. UDM에 매핑되지 않았습니다. |
event.oldHashes.sha1 |
해당 사항 없음 | 이전 SHA1 해시입니다. UDM에 매핑되지 않았습니다. |
event.oldHashes.sha256 |
해당 사항 없음 | 이전 SHA256 해시입니다. UDM에 매핑되지 않았습니다. |
event.parent.commandLine |
principal.process.parent_process.command_line, target.process.parent_process.command_line |
상위 프로세스의 명령줄입니다. |
event.parent.excluded |
해당 사항 없음 | 상위 이벤트가 제외되었는지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.parent.executable.creationTime.millisecondsSinceEpoch |
해당 사항 없음 | 상위 실행 파일의 생성 시간입니다. UDM에 매핑되지 않았습니다. |
event.parent.executable.full_path |
principal.process.parent_process.file.full_path, target.process.parent_process.file.full_path |
상위 실행 파일의 전체 경로입니다. |
event.parent.executable.hashes.md5 |
principal.process.parent_process.file.md5, target.process.parent_process.file.md5 |
상위 실행 파일의 MD5 해시입니다. |
event.parent.executable.hashes.sha1 |
principal.process.parent_process.file.sha1, target.process.parent_process.file.sha1 |
상위 실행 파일의 SHA1 해시입니다. |
event.parent.executable.hashes.sha256 |
principal.process.parent_process.file.sha256, target.process.parent_process.file.sha256 |
상위 실행 파일의 SHA256 해시입니다. |
event.parent.executable.isDir |
해당 사항 없음 | 상위 실행 파일이 디렉터리인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.parent.executable.isKernelModule |
해당 사항 없음 | 상위 실행 파일이 커널 모듈인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.parent.executable.node.key.value |
해당 사항 없음 | 상위 실행 파일의 노드 키 값입니다. UDM에 매핑되지 않았습니다. |
event.parent.executable.owner.name |
해당 사항 없음 | 상위 실행 파일의 소유자 이름입니다. UDM에 매핑되지 않았습니다. |
event.parent.executable.owner.sid |
해당 사항 없음 | 상위 실행 파일의 소유자 SID입니다. UDM에 매핑되지 않았습니다. |
event.parent.executable.pUnix |
해당 사항 없음 | 상위 실행 파일의 pUnix 값입니다. UDM에 매핑되지 않았습니다. |
event.parent.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
서명된 상위 실행 파일의 ID입니다. '소스 상위 서명 서명된 ID: {identity}' 형식입니다. |
event.parent.executable.signature.signed.valid |
해당 사항 없음 | 상위 서명이 유효한지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.parent.executable.signature.unsigned |
해당 사항 없음 | 상위 실행 파일이 서명되지 않았는지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.parent.executable.sizeBytes |
principal.process.parent_process.file.size, target.process.parent_process.file.size |
상위 실행 파일의 크기(바이트)입니다. |
event.parent.fullPid.pid |
principal.process.parent_process.pid, target.process.parent_process.pid |
상위 프로세스 ID입니다. |
event.parent.fullPid.startTime.millisecondsSinceEpoch |
해당 사항 없음 | 상위 프로세스의 시작 시간입니다. UDM에 매핑되지 않았습니다. |
event.parent.interactive |
해당 사항 없음 | 상위 이벤트가 대화형인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.parent.isRedirectedCommandProcessor |
해당 사항 없음 | 상위 이벤트가 리디렉션된 명령어 프로세서인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.parent.isWow64 |
해당 사항 없음 | 상위 이벤트가 WoW64인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.parent.name |
해당 사항 없음 | 상위 이벤트의 이름입니다. UDM에 매핑되지 않았습니다. |
event.parent.node.key.value |
해당 사항 없음 | 상위 이벤트의 노드 키 값입니다. UDM에 매핑되지 않았습니다. |
event.parent.root |
해당 사항 없음 | 상위 이벤트가 루트인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.parent.sessionId |
해당 사항 없음 | 상위 이벤트의 세션 ID입니다. UDM에 매핑되지 않았습니다. |
event.parent.subsystem |
해당 사항 없음 | 상위 이벤트의 하위 시스템입니다. UDM에 매핑되지 않았습니다. |
event.parent.trueContext.key.value |
해당 사항 없음 | 상위 이벤트의 실제 컨텍스트 키 값입니다. UDM에 매핑되지 않았습니다. |
event.parent.user.integrityLevel |
해당 사항 없음 | 상위 사용자의 무결성 수준입니다. UDM에 매핑되지 않았습니다. |
event.parent.user.name |
principal.user.userid |
상위 프로세스의 사용자 이름입니다. |
event.parent.user.sid |
principal.user.windows_sid |
상위 사용자의 Windows SID입니다. |
event.process.commandLine |
target.process.command_line |
프로세스의 명령줄입니다. |
event.process.executable.creationTime.millisecondsSinceEpoch |
해당 사항 없음 | 프로세스 실행 파일의 생성 시간입니다. UDM에 매핑되지 않았습니다. |
event.process.executable.full_path |
target.process.file.full_path |
프로세스 실행 파일의 전체 경로입니다. |
event.process.executable.hashes.md5 |
target.process.file.md5 |
프로세스 실행 파일의 MD5 해시입니다. |
event.process.executable.hashes.sha1 |
target.process.file.sha1 |
프로세스 실행 파일의 SHA1 해시입니다. |
event.process.executable.hashes.sha256 |
target.process.file.sha256 |
프로세스 실행 파일의 SHA256 해시입니다. |
event.process.executable.isDir |
해당 사항 없음 | 프로세스 실행 파일이 디렉터리인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.process.executable.isKernelModule |
해당 사항 없음 | 프로세스 실행 파일이 커널 모듈인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.process.executable.node.key.value |
해당 사항 없음 | 프로세스 실행 파일의 노드 키 값입니다. UDM에 매핑되지 않았습니다. |
event.process.executable.owner.name |
해당 사항 없음 | 프로세스 실행 파일의 소유자 이름입니다. UDM에 매핑되지 않았습니다. |
event.process.executable.owner.sid |
해당 사항 없음 | 프로세스 실행 파일의 소유자 SID입니다. UDM에 매핑되지 않았습니다. |
event.process.executable.pUnix |
해당 사항 없음 | 프로세스 실행 파일의 pUnix 값입니다. UDM에 매핑되지 않았습니다. |
event.process.executable.signature.unsigned |
해당 사항 없음 | 프로세스 실행 파일이 서명되지 않았는지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.process.executable.sizeBytes |
target.process.file.size |
프로세스 실행 파일의 크기(바이트)입니다. |
event.process.excluded |
해당 사항 없음 | 프로세스가 제외되었는지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.process.fullPid.pid |
target.process.pid |
프로세스 ID입니다. |
event.process.fullPid.startTime.millisecondsSinceEpoch |
해당 사항 없음 | 프로세스의 시작 시간입니다. UDM에 매핑되지 않았습니다. |
event.process.interactive |
해당 사항 없음 | 프로세스가 대화형인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.process.isRedirectedCommandProcessor |
해당 사항 없음 | 프로세스가 리디렉션된 명령어 프로세서인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.process.isWow64 |
해당 사항 없음 | 프로세스가 WoW64인지 나타냅니다. UDM에 매핑되지 않았습니다. |
event.process.name |
해당 사항 없음 | 프로세스의 이름입니다. UDM에 매핑되지 않았습니다. |
event.process.node.key.value |
해당 사항 없음 | 프로세스의 노드 키 값입니다. UDM에 매핑되지 않았습니다. |
event.process.root |
해당 사항 없음 | 프로세스가 루트인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.process.sessionId |
해당 사항 없음 | 프로세스의 세션 ID입니다. UDM에 매핑되지 않았습니다. |
event.process.subsystem |
해당 사항 없음 | 프로세스의 하위 시스템입니다. UDM에 매핑되지 않았습니다. |
event.process.trueContext.key.value |
해당 사항 없음 | 프로세스의 실제 컨텍스트 키 값입니다. UDM에 매핑되지 않았습니다. |
event.process.user.integrityLevel |
해당 사항 없음 | 프로세스 사용자의 무결성 수준입니다. UDM에 매핑되지 않았습니다. |
event.process.user.name |
target.user.userid |
프로세스의 사용자 이름입니다. |
event.process.user.sid |
target.user.windows_sid |
프로세스 사용자의 Windows SID입니다. |
event.query |
network.dns.questions.name |
DNS 쿼리 |
event.regKey.key.value |
해당 사항 없음 | 레지스트리 키 값입니다. UDM에 매핑되지 않았습니다. |
event.regKey.full_path |
target.registry.registry_key |
레지스트리 키 경로입니다. |
event.regValue.key.value |
target.registry.registry_value_name |
레지스트리 값 이름입니다. |
event.regValue.full_path |
target.registry.registry_key |
레지스트리 값 경로입니다. |
event.results |
network.dns.answers.data |
DNS 결과 |
event.root |
해당 사항 없음 | 이벤트가 루트인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.sessionId |
해당 사항 없음 | 이벤트의 세션 ID입니다. UDM에 매핑되지 않았습니다. |
event.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
서명된 이벤트의 ID입니다. 'Source Signature Signed Identity: {identity}' 형식입니다. |
event.signature.signed.valid |
해당 사항 없음 | 서명이 유효한지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.signature.unsigned |
해당 사항 없음 | 이벤트가 서명되지 않았는지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.source.commandLine |
principal.process.command_line, target.process.command_line |
소스의 명령줄입니다. |
event.source.executable.creationTime.millisecondsSinceEpoch |
해당 사항 없음 | 소스 실행 파일의 생성 시간입니다. UDM에 매핑되지 않았습니다. |
event.source.executable.full_path |
principal.process.file.full_path, target.process.file.full_path |
소스 실행 파일의 전체 경로입니다. |
event.source.executable.hashes.md5 |
principal.process.file.md5, target.process.file.md5 |
소스 실행 파일의 MD5 해시입니다. |
event.source.executable.hashes.sha1 |
principal.process.file.sha1, target.process.file.sha1 |
소스 실행 파일의 SHA1 해시입니다. |
event.source.executable.hashes.sha256 |
principal.process.file.sha256, target.process.file.sha256 |
소스 실행 파일의 SHA256 해시입니다. |
event.source.executable.isDir |
해당 사항 없음 | 소스 실행 파일이 디렉터리인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.source.executable.isKernelModule |
해당 사항 없음 | 소스 실행 파일이 커널 모듈인지 나타냅니다. UDM에 매핑되지 않았습니다. |
event.source.executable.node.key.value |
해당 사항 없음 | 소스 실행 파일의 노드 키 값입니다. UDM에 매핑되지 않았습니다. |
event.source.executable.owner.name |
해당 사항 없음 | 소스 실행 파일의 소유자 이름입니다. UDM에 매핑되지 않았습니다. |
event.source.executable.owner.sid |
해당 사항 없음 | 소스 실행 파일의 소유자 SID입니다. UDM에 매핑되지 않았습니다. |
event.source.executable.pUnix |
해당 사항 없음 | 소스 실행 파일의 pUnix 값입니다. UDM에 매핑되지 않았습니다. |
event.source.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
서명된 소스 실행 파일의 ID입니다. 'Source Signature Signed Identity: {identity}' 형식입니다. |
event.source.executable.signature.signed.valid |
해당 사항 없음 | 소스 서명이 유효한지 나타냅니다. UDM에 매핑되지 않았습니다. |
event.source.executable.signature.unsigned |
해당 사항 없음 | 소스 실행 파일이 서명되지 않았는지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.source.executable.sizeBytes |
principal.process.file.size, target.process.file.size |
소스 실행 파일의 크기(바이트)입니다. |
event.source.excluded |
해당 사항 없음 | 소스가 제외되었는지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.source.fullPid.pid |
principal.process.pid, target.process.pid |
소스의 프로세스 ID입니다. |
event.source.fullPid.startTime.millisecondsSinceEpoch |
해당 사항 없음 | 소스 프로세스의 시작 시간입니다. UDM에 매핑되지 않았습니다. |
event.source.interactive |
해당 사항 없음 | 소스가 양방향인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.source.isRedirectedCommandProcessor |
해당 사항 없음 | 소스가 리디렉션된 명령어 프로세서인지 나타냅니다. UDM에 매핑되지 않았습니다. |
event.source.isWow64 |
해당 사항 없음 | 소스가 WoW64인지 나타냅니다. UDM에 매핑되지 않았습니다. |
event.source.name |
해당 사항 없음 | 소스의 이름입니다. UDM에 매핑되지 않았습니다. |
event.source.node.key.value |
해당 사항 없음 | 소스의 노드 키 값입니다. UDM에 매핑되지 않았습니다. |
event.source.parent.commandLine |
principal.process.parent_process.command_line |
소스의 상위 요소의 명령줄입니다. |
event.source.parent.excluded |
해당 사항 없음 | 소스의 상위 요소가 제외되는지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.source.parent.executable.full_path |
principal.process.parent_process.file.full_path |
소스의 상위 실행 파일의 전체 경로입니다. |
event.source.parent.executable.hashes.md5 |
principal.process.parent_process.file.md5 |
소스의 상위 실행 파일의 MD5 해시입니다. |
event.source.parent.executable.hashes.sha1 |
principal.process.parent_process.file.sha1 |
소스의 상위 실행 파일의 SHA1 해시입니다. |
event.source.parent.executable.hashes.sha256 |
principal.process.parent_process.file.sha256 |
소스의 상위 실행 파일의 SHA256 해시입니다. |
event.source.parent.fullPid.pid |
principal.process.parent_process.pid |
소스의 상위 요소의 프로세스 ID입니다. |
event.source.parent.fullPid.startTime.millisecondsSinceEpoch |
해당 사항 없음 | 소스의 상위 프로세스의 시작 시간입니다. UDM에 매핑되지 않았습니다. |
event.source.parent.interactive |
해당 사항 없음 | 소스의 상위 요소가 상호작용이 가능한지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.source.parent.isRedirectedCommandProcessor |
해당 사항 없음 | 소스의 상위 요소가 리디렉션된 명령어 프로세서인지 나타냅니다. UDM에 매핑되지 않았습니다. |
event.source.parent.isWow64 |
해당 사항 없음 | 소스의 상위 요소가 WoW64인지 나타냅니다. UDM에 매핑되지 않았습니다. |
event.source.parent.name |
해당 사항 없음 | 소스의 상위 요소의 이름입니다. UDM에 매핑되지 않았습니다. |
event.source.parent.node.key.value |
해당 사항 없음 | 소스의 상위 요소의 노드 키 값입니다. UDM에 매핑되지 않았습니다. |
event.source.parent.root |
해당 사항 없음 | 소스의 상위 요소가 루트인지 나타냅니다. UDM에 매핑되지 않았습니다. |
event.source.parent.sessionId |
해당 사항 없음 | 소스의 상위 요소의 세션 ID입니다. UDM에 매핑되지 않았습니다. |
event.source.parent.subsystem |
해당 사항 없음 | 소스의 상위 요소의 하위 시스템입니다. UDM에 매핑되지 않았습니다. |
event.source.parent.trueContext.key.value |
해당 사항 없음 | 소스의 상위 요소의 실제 컨텍스트 키 값입니다. UDM에 매핑되지 않았습니다. |
event.source.parent.user.integrityLevel |
해당 사항 없음 | 소스의 상위 사용자의 무결성 수준입니다. UDM에 매핑되지 않았습니다. |
event.source.parent.user.name |
해당 사항 없음 | 소스의 상위 요소의 사용자 이름입니다. UDM에 매핑되지 않았습니다. |
event.source.parent.user.sid |
해당 사항 없음 | 소스의 상위 사용자의 Windows SID입니다. UDM에 매핑되지 않았습니다. |
event.source.root |
해당 사항 없음 | 소스가 루트인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.source.sessionId |
해당 사항 없음 | 소스의 세션 ID입니다. UDM에 매핑되지 않았습니다. |
event.source.subsystem |
해당 사항 없음 | 소스의 하위 시스템입니다. UDM에 매핑되지 않았습니다. |
event.source.trueContext.key.value |
해당 사항 없음 | 소스의 실제 컨텍스트 키 값입니다. UDM에 매핑되지 않았습니다. |
event.source.user.integrityLevel |
해당 사항 없음 | 소스 사용자의 무결성 수준입니다. UDM에 매핑되지 않았습니다. |
event.source.user.name |
principal.user.userid |
소스의 사용자 이름입니다. |
event.source.user.sid |
principal.user.windows_sid |
소스 사용자의 Windows SID입니다. |
event.sourceAddress.address |
principal.ip |
소스의 IP 주소입니다. |
event.sourceAddress.port |
principal.port |
소스의 포트입니다. |
event.status |
해당 사항 없음 | 이벤트의 상태입니다. UDM에 매핑되지 않았습니다. |
event.subsystem |
해당 사항 없음 | 이벤트의 하위 시스템입니다. UDM에 매핑되지 않았습니다. |
event.targetFile.creationTime.millisecondsSinceEpoch |
해당 사항 없음 | 대상 파일의 생성 시간입니다. UDM에 매핑되지 않았습니다. |
event.targetFile.full_path |
target.file.full_path |
대상 파일의 전체 경로입니다. |
event.targetFile.hashes.md5 |
target.process.file.md5 |
대상 파일의 MD5 해시입니다. |
event.targetFile.hashes.sha1 |
target.process.file.sha1 |
대상 파일의 SHA1 해시입니다. |
event.targetFile.hashes.sha256 |
target.process.file.sha256 |
대상 파일의 SHA256 해시입니다. |
event.targetFile.isDir |
해당 사항 없음 | 대상 파일이 디렉터리인지 여부를 나타냅니다. UDM에 매핑되지 않았습니다. |
event.targetFile.isKernelModule |
변경사항
2024-06-03
- 'suser'가 'principal.user.userid'에 매핑되었습니다.
- 'accountId'가 'target.user.userid'에 매핑되었습니다.
- 'MessageSourceAddress'가 'principal.ip'에 매핑되었습니다.
- 'machine_host'가 'principal.hostname'에 매핑되었습니다.
2024-05-20
- 'event.dns.response'가 'network.dns.answers.data'에 매핑되었습니다.
2024-05-06
- JSON 로그의 새로운 패턴에 대한 지원이 추가되었습니다.
2024-03-22
- 탭 구분 KV 로그의 새 형식을 파싱하는 새로운 Grok 패턴을 추가했습니다.
- 'osName'이 'src.platform'에 매핑되었습니다.
2024-03-15
- 'site.id:account.id:agent.uuid:tgt.process.uid'가 'target.process.product_specific_process_id'에 매핑되었습니다.
- 'site.id:account.id:agent.uuid:src.process.uid'가 'principal.process.product_specific_process_id'에 매핑되었습니다.
- 'site.id:account.id:agent.uuid:src.process.parent.uid'가 'principal.process.parent_process.product_specific_process_id'에 매핑되었습니다.
- 'src.process.cmdline'이 'target.process.command_line'에 매핑되지 않도록 삭제했습니다.
2023-11-09
- 해결:
- 'tgt.process.user'가 'target.user.userid'에 매핑되었습니다.
2023-10-30
- 해결:
- UDM에 매핑하기 전에 'principal_port'에 null이 아닌지 확인을 추가했습니다.
- 'event.category'가 'url'이고 'meta.event.name'이 'HTTP'인 경우 'metadata.event_type'이 'NETWORK_HTTP'에 매핑되었습니다.
2023-09-06
- 'tgt.process.storyline.id'의 매핑이 'security_result.about.resource.attribute.labels'에 추가되었습니다.
- 'src.process.storyline.id'의 매핑을 'principal.process.product_specific_process_id'에서 'security_result.about.resource.attribute.labels'로 수정했습니다.
- 'src.process.parent.storyline.id'의 매핑을 'principal.parent.process.product_specific_process_id'에서 'security_result.about.resource.attribute.labels'로 수정했습니다.
2023-08-31
- 'indicator.category'가 'security_result.category_details'에 매핑되었습니다.
2023-08-03
- 'event_data.login.loginIsSuccessful'을 null로 초기화했습니다.
- 'event.type'이 'Module Load'인 경우 'module.path'가 'target.process.file.full_path' 및 'target.file.full_path'에 매핑되었습니다.
- 'event.type'이 'Module Load'인 경우 'module.sha1'이 'target.process.file.sha1' 및 'target.file.sha1'에 매핑되었습니다.
- 'metadata.event_type'이 'PROCESS_MODULE_LOAD'에 매핑되며 여기서 'event.type'은 'Module Load'입니다.
- 'REGISTRY*' 이벤트의 'registry.keyPath'가 'target.registry.registrykey'에 매핑되었습니다.
- 'REGISTRY*' 이벤트의 'registry.value'가 'target.registry.registry_valuedata'에 매핑되었습니다.
- 'event.network.protocolName'이 'network.application_protocol'에 매핑되었습니다.
- 'endpoint.os'가 'linux'인 경우 'principal.platform', 'principal.asset.platform_software.platform'을 'LINUX'에 매핑했습니다.
- 'event.type'이 '로그인' 또는 '로그아웃'인 경우 'event.login.userName'이 'target.user.userid'에 매핑되었습니다.
- 'event.type'이 'GET', 'OPTIONS', 'POST', 'PUT', 'DELETE', 'CONNECT', 'HEAD'인 경우 'url.address'에서 호스트 이름을 가져와 'target.hostname'을 매핑했습니다.
2023-06-09
- 'osSrc.process.parent.publisher'가 'principal.resource.attribute.labels'에 매핑되었습니다.
- 'src.process.rUserName/src.process.eUserName/src.process.lUserName'이 'principal.user.user_display_name'에 매핑되었습니다.
- UDM에 매핑하기 전에 'src.process.eUserId', 'src.process.lUserId', 'tgt.process.rUserUid' 필드에 검사를 추가했습니다.
- 'tgt.file.location', 'registry.valueFullSize', 'registry.valueType'가 'target.resource.attribute.labels'에 매핑되었습니다.
- 'indicator.description'이 'security_result.summary'에 매핑되었습니다.
- 'event.type'이 'Behavioral Indicators'인 경우 'metadata.event_type'이 'SCAN_NETWORK'에 매핑되었습니다.
- 'event.type'이 'Command Script'인 경우 'metadata.event_type'이 'SCAN_UNCATEGORIZED'에 매핑되었습니다.
- 'meta.osFamily', 'meta.osRevision', 'event.type' 필드를 초기화했습니다.
- ISO8601 타임스탬프 파서에 날짜 필터에 ISO8601을 추가했습니다.
- '@timestamp' 문자열 변환에 on_error가 추가되었습니다.
- 매핑 전에 'meta.uuid'에 on_error를 추가했습니다.
2023-05-25
- 'event.source.commandLine'이 'principal.process.command_line'에 매핑되었습니다.
- 'event.source.executable.path'가 'principal.process.file.full_path'에 매핑되었습니다.
- 'event.type'이 'openProcess'인 경우 'metadata.event_type'을 'PROCESS_OPEN'으로 설정합니다.
- 'site.name' 및 'site.id'가 모두 null이 아닌 경우 'site.name:site.id'가 'principal.namespace'에 매핑되었습니다.
- 'event.network.direction'이 'network.direction'에 매핑되었습니다.
- 'meta.event.name'이 'metadata.description'에 매핑되었습니다.
- 'task.name'이 'target.resource.name'에 매핑되었습니다.
- 'agent.uuid'가 'principal.asset.product_object_id'에 매핑되었습니다.
- 'src.process.publisher'가 'principal.resource.attribute.labels'에 매핑되었습니다.
- 'src.process.cmdline'이 'target.process.command_line'에 매핑되었습니다.
- 'mgmt.osRevision'이 'principal.asset.platform_software.platform_version'에 매핑되었습니다.
- 'indicator.category' 값에 따라 'security_result.category'를 매핑했습니다.
- 'event.dns.response'가 'network.dns.answers'에 매핑되었습니다.
- 'registry.keyPath'가 'target.registry.registry_key'에 매핑되었습니다.
- 'event.id'가 'target.registry.registry_value_name'에 매핑되었습니다.
2023-04-27
- Cloud Funnel v2 로그의 'event.type'을 'metadata.product_event_type'에 매핑했습니다.
2023-04-20
- 'data.ipAddress' 필드에 null 및 '-' 조건부 검사를 추가했습니다.
- 'sourceMacAddresses' 필드에 대한 grok 조건부 검사가 추가되었습니다.
2023-03-02
- ("event.type" == "tcpv4" and "event.direction" == "INCOMING") 또는 "event.type"에 '(processExit|processTermination|processModification|duplicate)'가 포함된 경우 'event.source.executable.signature.signed.identity'를 'target.resource.attribute.labels'에 매핑하고 그 외의 경우에는 'principal.resource.attribute.labels'에 매핑했습니다.
- 'event.parent.executable.signature.signed.identity', 'event.process.executable.signature.signed.identity'를 'principal.resource.attribute.labels', ''에 매핑했습니다.
- 'event.targetFile.signature.signed.identity', 'event.target.executable.signature.signed.identity', 'event.target.parent.executable.signature.signed.identity'가 'target.resource.attribute.labels'에 매핑되었습니다.
2023-02-24
- 버그 수정:
- 로그 버전을 명확하게 구분하도록 코드를 리팩터링했습니다.
- USER_LOGIN 클라우드 유입경로 v2 로그의 경우 'event.login.lognIsSuccessful' 세부정보를 'security_result.action' 및 'security_result.summary'에 매핑했습니다.
2023-02-13
- 버그 수정:
- 필요에 따라 클라우드 유입경로 v1 로그를 파싱했습니다.
- 모든 HTTP 로그를 'NETWORK_HTTP'에 매핑합니다.
- 'NETWORK_HTTP'의 URL 필드는 'metadata.url_back_to_product' 대신 'target.url'에 매핑되어야 합니다.
2023-01-20
- 'event.url' 필드가 'target.hostname' 및 'target.url'에 매핑되었습니다.
- 'event.type' == 'http'인 경우 'metadata.event_type'이 'NETWORK_HTTP'에 매핑되었습니다.
2023-01-16
- 수정
- 'mgmt.url'을 'target.url' 대신 'metadata.url_back_to_product'에 매핑했습니다.
- 'site.name'이 'principal.location.name'에 매핑되었습니다.
- 'src.process.rUserUid'가 'principal.user.userid'에 매핑되었습니다.
- 'src.process.eUserId'가 'principal.user.userid'에 매핑되었습니다.
- 'src.process.lUserId'가 'principal.user.userid'에 매핑되었습니다.
- 'src.process.parent.rUserUid'가 'metadata.ingestion_labels'에 매핑되었습니다.
- 'src.process.parent.eUserId'가 'metadata.ingestion_labels'에 매핑되었습니다.
- 'src.process.parent.lUserId'가 'metadata.ingestion_labels'에 매핑되었습니다.
- 'tgt.process.rUserUid'가 'target.user.userid'에 매핑되었습니다.
- 'tgt.process.eUserId'가 'target.user.userid'에 매핑되었습니다.
- 'tgt.process.lUserId'가 'target.user.userid'에 매핑되었습니다.
- 'event.type'이 'Process Creation'인 경우 'metadata.event_type'이 'PROCESS_LAUNCH'에 매핑됩니다.
- 'event.type'이 'Duplicate Process Handle'인 경우 'metadata.event_type'이 'PROCESS_OPEN'에 매핑됩니다.
- 'event.type'이 'Duplicate Thread Handle'인 경우 'metadata.event_type'이 'PROCESS_OPEN'에 매핑됩니다.
- 'event.type'이 'Open Remote Process Handle'인 경우 'metadata.event_type'이 'PROCESS_OPEN'에 매핑됩니다.
- 'event.type'이 'Remote Thread Creation'인 경우 'metadata.event_type'이 'PROCESS_LAUNCH'에 매핑됩니다.
- 'event.type'이 'Command Script'인 경우 'metadata.event_type'이 'FILE_UNCATEGORIZED'에 매핑됩니다.
- 'event.type'이 'IP Connect'인 경우 'metadata.event_type'이 'NETWORK_CONNECTION'에 매핑됩니다.
- 'event.type'이 'IP Listen'인 경우 'metadata.event_type'이 'NETWORK_UNCATEGORIZED'에 매핑됩니다.
- 'event.type'이 'File ModIfication'인 경우 'metadata.event_type'이 'FILE_MODIfICATION'에 매핑됩니다.
- 'event.type'이 'File Creation'인 경우 'metadata.event_type'이 'FILE_CREATION'에 매핑됩니다.
- 'event.type'이 'File Scan'인 경우 'metadata.event_type'이 'FILE_UNCATEGORIZED'에 매핑됩니다.
- 'event.type'이 'File Deletion'인 경우 'metadata.event_type'이 'FILE_DELETION'에 매핑됩니다.
- 'event.type'이 'File Rename'인 경우 'metadata.event_type'이 'FILE_MODIfICATION'에 매핑됩니다.
- 'event.type'이 'Pre Execution Detection'인 경우 'metadata.event_type'이 'FILE_UNCATEGORIZED'에 매핑됩니다.
- 'event.type'이 '로그인'인 경우 'metadata.event_type'이 'USER_LOGIN'에 매핑됩니다.
- 'event.type'이 'Logout'인 경우 'metadata.event_type'이 'USER_LOGOUT'에 매핑됩니다.
- 'event.type'이 'GET'인 경우 'metadata.event_type'이 'NETWORK_HTTP'에 매핑됩니다.
- 'event.type'이 'OPTIONS'인 경우 'metadata.event_type'이 'NETWORK_HTTP'에 매핑됩니다.
- 'event.type'이 'POST'인 경우 'metadata.event_type'이 'NETWORK_HTTP'에 매핑됩니다.
- 'event.type'이 'PUT'인 경우 'metadata.event_type'이 'NETWORK_HTTP'에 매핑됩니다.
- 'event.type'이 'DELETE'인 경우 'metadata.event_type'이 'NETWORK_HTTP'에 매핑됩니다.
- 'event.type'이 'CONNECT'인 경우 'metadata.event_type'이 'NETWORK_HTTP'에 매핑됩니다.
- 'event.type'이 'HEAD'인 경우 'metadata.event_type'이 'NETWORK_HTTP'에 매핑됩니다.
- 'event.type'이 'Not Reported'인 경우 'metadata.event_type'이 'STATUS_UNCATEGORIZED'에 매핑됩니다.
- 'event.type'이 'DNS Resolved'인 경우 'metadata.event_type'이 'NETWORK_DNS'에 매핑됩니다.
- 'event.type'이 'DNS Unresolved'인 경우 'metadata.event_type'이 'NETWORK_DNS'에 매핑됩니다.
- 'event.type'이 'Task Register'인 경우 'metadata.event_type'이 'SCHEDULED_TASK_CREATION'에 매핑됩니다.
- 'event.type'이 'Task Update'인 경우 'metadata.event_type'이 'SCHEDULED_TASK_MODIfICATION'에 매핑됩니다.
- 'event.type'이 'Task Start'인 경우 'metadata.event_type'이 'SCHEDULED_TASK_UNCATEGORIZED'에 매핑됩니다.
- 'event.type'이 'Task Trigger'인 경우 'metadata.event_type'이 'SCHEDULED_TASK_UNCATEGORIZED'에 매핑됩니다.
- 'event.type'이 'Task Delete'인 경우 'metadata.event_type'이 'SCHEDULED_TASK_DELETION'에 매핑됩니다.
- 'event.type'이 'Registry Key Create'인 경우 'metadata.event_type'이 'REGISTRY_CREATION'에 매핑됩니다.
- 'event.type'이 'Registry Key Rename'인 경우 'metadata.event_type'이 'REGISTRY_MODIfICATION'에 매핑됩니다.
- 'event.type'이 'Registry Key Delete'인 경우 'metadata.event_type'이 'REGISTRY_DELETION'에 매핑됩니다.
- 'event.type'이 'Registry Key Export'인 경우 'metadata.event_type'이 'REGISTRY_UNCATEGORIZED'에 매핑됩니다.
- 'event.type'이 'Registry Key Security Changed'인 경우 'metadata.event_type'이 'REGISTRY_MODIfICATION'에 매핑됩니다.
- 'event.type'이 'Registry Key Import'인 경우 'metadata.event_type'이 'REGISTRY_CREATION'에 매핑됩니다.
- 'event.type'이 'Registry Value ModIfied'인 경우 'metadata.event_type'이 'REGISTRY_MODIfICATION'에 매핑됩니다.
- 'event.type'이 'Registry Value Create'인 경우 'metadata.event_type'이 'REGISTRY_CREATION'에 매핑됩니다.
- 'event.type'이 'Registry Value Delete'인 경우 'metadata.event_type'이 'REGISTRY_DELETION'에 매핑됩니다.
- 'event.type'이 'Behavioral Indicators'인 경우 'metadata.event_type'이 'SCAN_UNCATEGORIZED'에 매핑됩니다.
- 'event.type'이 'Module Load'인 경우 'metadata.event_type'이 'PROCESS_MODULE_LOAD'에 매핑됩니다.
- 'event.type'이 'Threat Intelligence Indicators'인 경우 'metadata.event_type'이 'SCAN_UNCATEGORIZED'에 매핑됩니다.
- 'event.type'이 'Named Pipe Creation'인 경우 'metadata.event_type'이 'PROCESS_UNCATEGORIZED'에 매핑됩니다.
- 'event.type'이 'Named Pipe Connection'인 경우 'metadata.event_type'이 'PROCESS_UNCATEGORIZED'에 매핑됩니다.
- 'event.type'이 'Driver Load'인 경우 'metadata.event_type'이 'PROCESS_MODULE_LOAD'에 매핑됩니다.
2022-11-30
- 개선
- 다음 필드를 매핑하여 버전 V2에서 처리된 로그를 지원하도록 파서를 개선했습니다.
- 'account.id'가 'metadata.product_deployment_id'에 매핑되었습니다.
- 'agent.uuid'가 'principal.asset.asset_id'에 매핑되었습니다.
- 'dst.ip.address'가 'target.ip'에 매핑되었습니다.
- 'src.ip.address'가 'principal.ip'에 매핑되었습니다.
- 'src.process.parent.image.sha1'이 'principal.process.parent_process.file.sha1'에 매핑되었습니다.
- 'src.process.parent.image.sha256'이 'principal.process.parent_process.file.sha256'에 매핑되었습니다.
- 'src.process.parent.image.path'가 'principal.process.parent_process.file.full_path'에 매핑되었습니다.
- 'src.process.parent.cmdline'이 'principal.process.parent_process.command_line'에 매핑되었습니다.
- 'src.process.parent.image.md5'가 'principal.process.parent_process.file.md5'에 매핑되었습니다.
- 'src.process.parent.pid'가 'principal.process.parent_process.pid'에 매핑되었습니다.
- 'src.process.image.sha1'이 'principal.process.file.sha1'에 매핑되었습니다.
- 'src.process.image.md5'가 'principal.process.file.md5'에 매핑되었습니다.
- 'src.process.pid'가 'principal.process.pid'에 매핑되었습니다.
- 'src.process.cmdline'이 'principal.process.command_line'에 매핑되었습니다.
- 'src.process.image.path'가 'principal.process.file.full_path'에 매핑되었습니다.
- 'src.process.image.sha256'이 'principal.process.file.sha256'에 매핑되었습니다.
- 'src.process.user'가 'principal.user.user_display_name'에 매핑되었습니다.
- 'src.process.uid'가 'principal.user.userid'에 매핑되었습니다.
- 'src.process.storyline.id'가 'principal.process.product_specific_process_id'에 매핑되었습니다.
- 'src.process.parent.storyline.id'가 'principal.process.parent_process.product_specific_process_id'에 매핑되었습니다.
- 'mgmt.url'이 'target.url'에 매핑되었습니다.
- 'site.id'가 'principal.namespace'에 매핑되었습니다.
- 'src.port.number'가 'principal.port'에 매핑되었습니다.
- 'dst.port.number'가 'target.port'에 매핑되었습니다.
- 'event_data.id'가 'metadata.product_log_id'에 매핑되었습니다.
2022-10-11
- 개선
- 'threatClassification'이 'security_result.category_details'에 매핑되었습니다.
- 'threatConfidenceLevel' 및 'threatMitigationStatus'가 'security_result.detection_fields'에 매핑되었습니다.
- 'Location'이 'principal.location.name'에 매핑되었습니다.
- 'data.filePath'가 'principal.process.parent_process.file.full_path'에 매핑되었습니다.
- (CAT 값)security_result.category_details의 매핑을 metadata.product_event_type으로 업데이트했습니다.
2022-09-01
- 개선
- metadata.product_name을 SentinelOne에서 Singularity로 변경했습니다.
- 'event.regValue.key.value'가 'target.registry.registry_value_name'에 매핑되었습니다.
- 'principal_userid'가 'principal.user.userid'에 매핑되었습니다.
- 'principal_domain'이 'principal.administrative_domain'에 매핑되었습니다.
- 'threatInfo.threatId'가 'security_result.threat_id'에 매핑되었습니다.
- 'threatInfo.identifiedAt'이 'metadata.event_timestamp'에 매핑되었습니다.
- 'threatInfo.threatId'가 'metadata.product_log_id'에 매핑되었습니다.
- 'security_result.alert_state'가 'ALERTING'에 매핑되었습니다.
- 'threatInfo.maliciousProcessArguments'가 'security_result.description'에 매핑되었습니다.
- 'threatInfo.threatName'이 'security_result.threat_name'에 매핑되었습니다.
- 'threatInfo.classification'이 'security_result.category_details'에 매핑되었습니다.
- threatInfo.classification이 악성인 경우 'security_result.category'가 'SOFTWARE_MALICIOUS'에 매핑되고 그렇지 않은 경우에는 'NETWORK_SUSPICIOUS'에 매핑되었습니다.
- threatInfo.mitigationStatus가 완화된 경우 'security_result.action'이 'ALLOW'에, 완화되지 않은 경우 'BLOCK'에 매핑되었습니다.
- 'threatInfo.mitigationStatus'가 'security_result.action_details'에 매핑되었습니다.
- 'threatInfo.classification threatInfo.classificationSource threatInfo.analystVerdictDescription threatInfo.threatName'이 'security_result.summary'에 매핑되었습니다.
- 'threatInfo.createdAt'이 'metadata.collected_timestamp'에 매핑되었습니다.
- 'agentRealtimeInfo.accountId'가 'metadata.product_deployment_id'에 매핑되었습니다.
- 'agentRealtimeInfo.agentVersion'이 'metadata.product_version'에 매핑되었습니다.
- 'indicator.category'가 'detection_fields.key'에 매핑되고 'indicator.description'이 'detection_fields.value'에 매핑되었습니다.
- 'detectionEngines.key'가 'detection_fields.key'에, 'detectionEngines.title'이 'detection_fields.value'에 매핑되었습니다.
- 'meta.computerName'이 null이 아닌 경우 'metadata.event_type'이 'SCAN_UNCATEGORIZED'에 매핑되었습니다.
2022-07-21
- 개선
- event.source.executable.hashes.md5를 principal.process.file.md5에 매핑했습니다.
- event.source.executable.hashes.sha256을 principal.process.file.sha256에 매핑했습니다.
- event.source.executable.hashes.sha1을 principal.process.file.sha1에 매핑했습니다.
- event.source.fullPid.pid를 principal.process.pid에 매핑했습니다.
- event.source.user.name을 principal.user.userid에 매핑했습니다.
- meta.agentVersion이 metadata.product_version에 매핑되었습니다.
- event.appName이 target.application에 매핑되었습니다.
- event.contentHash.sha256을 target.process.file.sha256에 매핑했습니다.
- event.source.commandLine을 target.process.command_line에 매핑했습니다.
- event.decodedContent가 target.labels에 매핑되었습니다.
- event.type이 스크립트인 경우 metadata.description을 스크립트에서 명령어 스크립트로 변경했습니다.
- 공급업체를 metadata.vendor_name에 매핑했습니다.
- data.fileContentHash가 target.process.file.md5에 매핑되었습니다.
- data.ipAddress를 principal.ip에 매핑했습니다.
- activityUuid를 target.asset.product_object_id에 매핑했습니다.
- agentId를 metadata.product_deployment_id에 매핑했습니다.
- user_email을 principal.user.email_addresses에 매핑하기 전에 이메일 인증을 추가했습니다. 인증에 실패하면 principal.user.userid에 매핑되었습니다.
- sourceIpAddresses를 principal.ip에 매핑했습니다.
- accountName이 principal.administrative_domain에 매핑되었습니다.
- activityId가 additional.fields에 매핑되었습니다.
2022-07-15
- 개선사항 - JSON 형식으로 새 로그를 파싱하고 다음과 같은 새 필드를 매핑했습니다.
- 'metadata.product_name'이 'SENTINEL_ONE'으로 변경되었습니다.
- 'sourceParentProcessMd5'가 'principal.process.parent_process.file.md5'로 매핑되었습니다.
- 'sourceParentProcessPath'가 'principal.process.parent_process.file.full_path'에 매핑되었습니다.
- 'sourceParentProcessPid'가 'principal.process.parent_process.pid'에 매핑되었습니다.
- 'sourceParentProcessSha1'이 'principal.process.parent_process.file.sha1'로 변경되었습니다.
- 'sourceParentProcessSha256'이 'principal.process.parent_process.file.sha256'으로 변경되었습니다.
- 'sourceParentProcessCmdArgs'가 'principal.process.parent_process.command_line'에 매핑되었습니다.
- 'sourceProcessCmdArgs'가 'principal.process.command_line'에 매핑되었습니다.
- 'sourceProcessMd5'가 'principal.process.file.md5'에 매핑되었습니다.
- 'sourceProcessPid'가 'principal.process.pid'에 매핑되었습니다.
- 'sourceProcessSha1'이 'principal.process.file.sha1'에 매핑되었습니다.
- 'sourceProcessSha256'이 'principal.process.file.sha256'에 매핑되었습니다.
- 'sourceProcessPath'가 'principal.process.file.full_path'에 매핑되었습니다.
- 'tgtFilePath'가 'target.file.full_path'에 매핑되었습니다.
- 'tgtFileHashSha256'이 'target.file.sha256'에 매핑되었습니다.
- 'tgtFileHashSha1'을 'target.file.sha1'로 변경했습니다.
- 'tgtProcUid'를 'target.process.product_specific_process_id'로 변경했습니다.
- 'tgtProcCmdLine'이 'target.process.command_line'으로 변경되었습니다.
- 'tgtProcPid'가 'target.process.pid'에 매핑되었습니다.
- 'tgtProcName'이 'target.application'에 매핑되었습니다.
- 'dstIp'가 'target.ip'에 매핑되었습니다.
- 'srcIp'가 'principal.ip'에 매핑되었습니다.
- 'dstPort'가 'target.port'에 매핑되었습니다.
- 'srcPort'가 'principal.port'로 매핑되었습니다.
- 'origAgentName'이 'principal.hostname'에 매핑되었습니다.
- 'agentIpV4'가 'principal.ip'에 매핑되었습니다.
- 'groupId'를 'principal.user.group_identifiers'로 변경합니다.
- 'groupName'이 'principal.user.group_display_name'에 매핑되었습니다.
- 'origAgentVersion'이 'principal.asset.software.version'에 매핑되었습니다.
- 'origAgentOsFamily'를 'principal.platform'으로 변경했습니다.
- 'origAgentOsName'이 'principal.asset.software.name'에 매핑되었습니다.
- sourceEventType = FILEMODIFICATION인 경우 'event_type'을 'FILE_MODIFICATION'으로 설정합니다.
- sourceEventType = FILEDELETION인 경우 'event_type'을 'FILE_DELETION'으로 설정합니다.
- sourceEventType = PROCESSCREATION인 경우 'event_type'을 'PROCESS_LAUNCH'로 설정합니다.
- sourceEventType = TCPV4인 경우 'event_type'을 'NETWORK_CONNECTION'으로 설정했습니다.
2022-06-13
- 개선
- [event][type] == "fileCreation" and [event][type] == "fileDeletion"
- 'event.targetFile.path'가 'target.file.full_path'에 매핑되었습니다.
- 'event.targetFile.hashes.md5'가 'target.process.file.md5'에 매핑되었습니다.
- 'event.targetFile.hashes.sha1'이 'target.process.file.sha1'에 매핑되었습니다.
- 'event.targetFile.hashes.sha256'이 'target.process.file.sha256'에 매핑되었습니다.
- [event][type] == "fileModification"인 경우
- 'event.file.path'가 'target.file.full_path'에 매핑되었습니다.
- 'event.file.hashes.md5'가 'target.process.file.md5'에 매핑되었습니다.
- 'event.file.hashes.sha1'이 'target.process.file.sha1'에 매핑되었습니다.
- 'event.file.hashes.sha256'이 'target.process.file.sha256'에 매핑되었습니다.
2022-04-18
- 파싱되지 않은 모든 원시 로그를 처리하도록 파서를 개선했습니다.