Splunk CIM 로그 수집
이 문서에서는 Splunk 및 Chronicle 전달자를 구성하여 Splunk Common Information Model(CIM)을 수집하는 방법을 설명합니다. 이 문서에는 지원되는 로그 유형과 지원되는 Splunk 버전도 나와 있습니다.
자세한 내용은 Chronicle 데이터 수집을 참조하세요.
개요
다음 배포 아키텍처 다이어그램은 Splunk 에이전트가 Chronicle로 로그를 보내도록 구성하는 방법을 보여줍니다. 각 고객 배포는 이 표현과 다를 수 있고 더 복잡할 수 있습니다.
이 아키텍처 다이어그램은 다음 구성요소를 보여줍니다.
데이터 소스: Splunk가 설치될 모니터링 시스템입니다.
Splunk: 데이터 소스에서 정보를 수집하여 정보를 Chronicle 전달자에게 전달합니다.
Chronicle 전달자: 로그를 Chronicle로 전달하기 위해 고객의 네트워크에 배포된 가벼운 소프트웨어 구성요소입니다.
Chronicle: Fleet 서버의 로그를 보존하고 분석합니다.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 SPLUNK 수집 라벨이 있는 파서에 적용됩니다.
시작하기 전에
Chronicle 파서가 지원하는 Splunk 버전 5.0을 사용합니다.
배포 아키텍처의 모든 시스템이 UTC 시간대로 구성되었는지 확인합니다.
Splunk 에이전트 및 Chronicle 전달자 구성
Splunkbase에서 CIM 호환 에이전트를 설치합니다.
로그를 Chronicle 시스템으로 푸시하도록 Chronicle 전달자를 구성합니다. 다음은 Chronicle 전달자 구성의 예시입니다.
- splunk: common: enabled: true data_type: SPLUNK batch_n_seconds: 10 batch_n_bytes: 819200 url: <SPLUNK_URL> query_cim: true is_ignore_cert: true query_string: | datamodel Network_Traffic All_Traffic
지원되는 로그 유형 및 데이터 모델
| Splunk 데이터 모델 | 지원됨 |
|---|---|
| 알림 | 예 |
| 애플리케이션 상태(지원 중단됨) | 아니요 |
| 인증 | 예 |
| 인증서 | 예 |
| 변경 | 예 |
| 변경 분석(지원 중단됨) | 아니요 |
| 데이터 액세스 | 예 |
| 데이터베이스 | 예 |
| 데이터 손실 방지 | 예 |
| 이메일 | 예 |
| 엔드포인트 | 예 |
| 이벤트 서명 | 예 |
| 프로세스 간 메시징 | 예 |
| 침입 감지 | 예 |
| 인벤토리 | 예 |
| 자바 가상 머신(JVM) | 예 |
| 멀웨어 | 예 |
| 네트워크 확인(DNS) | 예 |
| 네트워크 세션 | 예 |
| 네트워크 트래픽 | 예 |
| 성능 | 예 |
| Splunk 감사 로그 | 예 |
| 티켓 관리 | 예 |
| 업데이트 | 예 |
| 취약점 | 예 |
| 웹 | 예 |
필드 매핑 참조
이 섹션에서는 Chronicle 파서가 Splunk 로그 필드를 데이터 세트의 Chronicle 통합 데이터 모델(UDM) 필드에 매핑하는 방법을 설명합니다. 자세한 내용은 버전 5.0.1을 위한 Splunk 문서를 참조하세요.
알림
다음 표에는 Splunk 데이터 세트 알림의 로그 필드 및 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 앱 | observer.application |
| description | security_result.description |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_type | target.resource.resource_type |
| id | metadata.product_log_id |
| mitre_technique_id | security_result.detection_fields.labels.key/value |
| 심각도 | security_result.severity |
| severity_id | about.labels.key/value |
| signature | metadata.description |
| signature_id | security_result.rule_name |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_type | principal.resource.resource_type |
| 태그 | about.labels.key/value |
| type | security_result.alert_state |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_name | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value |
| vendor_region | about.location.country_or_region |
인증
다음 표에는 Splunk 데이터 세트 인증의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 앱 | target.application |
| authentication_method | about.labels.key/value |
| authentication_service | extension.auth.auth_details |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_nt_domain | target.labels.key/value |
| dest_priority | target.labels.key/value |
| duration | network.session_duration |
| reason | security_result.summary |
| response_time | about.labels.key/value |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_nt_domain | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value |
| src_user_category | principal.labels.key/value |
| src_user_id | principal.user.userid |
| src_user_priority | principal.labels.key/value |
| src_user_role | principal.user.attribute.roles.name(repeated) |
| src_user_type | principal.user.attribute.roles.type |
| 태그 | about.labels.key/value |
| user | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| user_role | principal.user.attribute.roles.name(repeated) |
| user_type | principal.user.attribute.roles.type |
| vendor_account | about.labels.key/value |
All_Certificates
다음 표에는 Splunk 데이터 세트 All_Certificates의 로그 필드 및 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_port | target.port |
| dest_priority | target.labels.key/value |
| duration | network.session_duration |
| response_time | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_port | principal.port |
| src_priority | principal.labels.key/value |
| 태그 | about.labels.key/value |
| 전송 | network.ip_protocol |
SSL
다음 표에는 Splunk 데이터 세트 SSL의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| ssl_end_time | network.tls.server.certificate.not_after |
| ssl_engine | about.labels.key/value |
| ssl_hash | about.labels.key/value |
| ssl_is_valid | about.labels.key/value |
| ssl_issuer | network.tls.server.certificate.issuer |
| ssl_issuer_common_name | about.labels.key/value |
| ssl_issuer_email | about.labels.key/value |
| ssl_issuer_email_domain | about.labels.key/value |
| ssl_issuer_locality | about.labels.key/value |
| ssl_issuer_organization | about.labels.key/value |
| ssl_issuer_state | about.labels.key/value |
| ssl_issuer_street | about.labels.key/value |
| ssl_issuer_unit | about.labels.key/value |
| ssl_name | about.labels.key/value |
| ssl_policies | about.labels.key/value |
| ssl_publickey | about.labels.key/value |
| ssl_publickey_algorithm | about.labels.key/value |
| ssl_serial | network.tls.server.certificate.serial |
| ssl_session_id | network.session_id |
| ssl_signature_algorithm | about.labels.key/value |
| ssl_start_time | network.tls.server.certificate.not_before |
| ssl_subject | network.tls.server.certificate.subject |
| ssl_subject_common_name | about.labels.key/value |
| ssl_subject_email | about.labels.key/value |
| ssl_subject_email_domain | about.labels.key/value |
| ssl_subject_locality | about.labels.key/value |
| ssl_subject_organization | about.labels.key/value |
| ssl_subject_state | about.labels.key/value |
| ssl_subject_street | about.labels.key/value |
| ssl_subject_unit | about.labels.key/value |
| ssl_validity_window | about.labels.key/value |
| ssl_version | network.tls.server.certificate.version |
All_Changes
다음 표에는 Splunk 데이터 세트 All_Changes의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| change_type | security_result.category_details |
| 명령어 | principal.process.command_line |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dvc | principal.asset.hostname, principal.asset.ip |
| 객체 | target.resource.name |
| object_attrs | about.labels.key/value |
| object_category | about.labels.key/value |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| 결과 | security_result.description |
| result_id | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value |
| user | target.user.user_display_name, principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_name | principal.user.userid, target.user.userid |
| user_type | principal.user.attribute.roles.type, target.user.attribute.roles.type |
| vendor_account | about.labels.key/value |
| vendor_product | about.labels.key/value |
| vendor_region | about.location.country_or_region |
Account_Management
다음 표에는 Splunk 데이터 세트 Account_Management의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest_nt_domain | target.administrative_domain |
| src_nt_domain | principal.administrative_domain |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value |
| src_user_category | principal.labels.key/value |
| src_user_priority | principal.labels.key/value |
| src_user_name | principal.labels.key/value |
| src_user_type | principal.user.attribute.roles.type |
Instance_Changes
다음 표에는 Splunk 데이터 세트 Instance_Changes의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| image_id | principal.asset_id |
| instance_type | about.labels.key/value |
network_Changes
다음 표에는 Splunk 데이터 세트 network_Changes의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest_ip_range | target.labels.key/value |
| dest_port_range | target.labels.key/value |
| direction | network.direction |
| 프로토콜 | network.ip_protocol |
| rule_action | security_result.action_details security_result.action |
| src_ip_range | principal.labels.key/value |
| src_port_range | principal.labels.key/value |
Data_Access
다음 표에는 Splunk 데이터 세트 Data_Access에 대한 로그 필드 및 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 앱 | target.application |
| app_id | metadata.product_log_id |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_name | target.administrative_domain |
| dest_url | target.url |
| dvc | principal.asset.hostname, principal.asset.ip |
| 이메일 | principal.user.email_addresses |
| 객체 | target.resource.name |
| object_category | about.labels.key/value |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| object_size | target.file.size |
| 소유자 | about.labels.key/value |
| owner_email | about.labels.key/value |
| owner_id | principal.user.userid |
| parent_object | target.resource.parent |
| parent_object_id | about.labels.key/value |
| parent_object_category | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| tenant_id | about.labels.key/value |
| user | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_group | principal.user.group_identifiers(repeated) |
| user_role | principal.user.attribute.roles.name(repeated) |
| vendor_product | about.labels.key/value |
| vendor_product_id | about.labels.key/value |
All_Databases
다음 표에는 Splunk 데이터 세트 All_Databases의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| duration | network.session_duration |
| 객체 | target.resource.name |
| response_time | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| 태그 | about.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
Database_Instance
다음 표에는 Splunk 데이터 세트 Database_Instance에 대한 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| instance_name | target.resource.attributes.key/value |
| instance_version | target.resource.attributes.key/value |
| process_limit | about.labels.key/value |
| session_limit | about.labels.key/value |
Database_Query
다음 표에는 Splunk 데이터 세트 Database_Query에 대한 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 쿼리 | about.labels.key/value |
| query_id | about.labels.key/value |
| query_time | about.labels.key/value |
| records_affected | about.labels.key/value |
Instance_Stats
다음 표에는 Splunk 데이터 세트 Instance_Stats의 로그 필드 및 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| availability | about.labels.key/value |
| avg_executions | about.labels.key/value |
| dump_area_used | about.labels.key/value |
| instance_reads | about.labels.key/value |
| instance_writes | about.labels.key/value |
| number_of_users | about.labels.key/value |
| 프로세스 | about.labels.key/value |
| sessions | about.labels.key/value |
| sga_buffer_cache_size | about.labels.key/value |
| sga_buffer_hit_limit | about.labels.key/value |
| sga_data_dict_hit_ratio | about.labels.key/value |
| sga_fixed_area_size | about.labels.key/value |
| sga_free_memory | about.labels.key/value |
| sga_library_cache_size | about.labels.key/value |
| sga_redo_log_buffer_size | about.labels.key/value |
| sga_shared_pool_size | about.labels.key/value |
| sga_sql_area_size | about.labels.key/value |
| start_time | about.labels.key/value |
| tablespace_used | about.labels.key/value |
Session_Info
다음 표에는 Splunk 데이터 세트 Session_Info의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| buffer_cache_hit_ratio | about.labels.key/value |
| commits | about.labels.key/value |
| cpu_used | about.labels.key/value |
| cursor | about.labels.key/value |
| elapsed_time | about.labels.key/value |
| logical_reads | about.labels.key/value |
| machine | about.hostname |
| memory_sorts | about.labels.key/value |
| physical_reads | about.labels.key/value |
| seconds_in_wait | about.labels.key/value |
| session_id | network.session_id |
| session_status | about.labels.key/value |
| table_scans | about.labels.key/value |
| wait_state | about.labels.key/value |
| wait_time | about.labels.key/value |
Lock_Info
다음 표에는 Splunk 데이터 세트 Lock_Info의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| last_call_minute | about.labels.key/value |
| lock_mode | about.labels.key/value |
| lock_session_id | about.labels.key/value |
| logon_time | about.labels.key/value |
| obj_name | about.labels.key/value |
| os_pid | target.process.pid |
| serial_num | target.resource.product_object_id |
Tablespace
다음 표에는 Splunk 데이터 세트 테이블스페이스의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| free_bytes | about.file.size |
| tablespace_name | about.resource.name |
| tablespace_reads | about.labels.key/value |
| tablespace_status | about.labels.key/value |
| tablespace_writes | about.labels.key/value |
Query_Stats
다음 표에는 Splunk 데이터 세트 Query_Stats의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| indexes_hit | about.labels.key/value |
| query_plan_hit | about.labels.key/value |
| stored_procedures_called | about.labels.key/value |
| tables_hit | about.labels.key/value |
DLP_Incidents
다음 표에는 Splunk 데이터 세트 DLP_Incidents의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 앱 | target.application |
| 카테고리 | security_result.category_details |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_zone | target.location.country_or_origin |
| dlp_type | about.labels.key/value |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value |
| dvc_category | about.labels.key/value |
| dvc_priority | about.labels.key/value |
| dvc_zone | principal.asset.location.country_or_region |
| 객체 | target.resource.name |
| object_category | about.labels.key/value |
| object_path | target.file.full_path |
| 심각도 | security_result.severity |
| severity_id | about.labels.key/value |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value |
| src_user_category | principal.labels.key/value |
| src_user_priority | principal.labels.key/value |
| src_zone | principal.location.country_or_origin |
| 태그 | about.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
All_Email
다음 표에는 Splunk 데이터 세트 All-Email의 로그 필드 및 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| delay | about.labels.key/value |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| duration | network.session_duration |
| file_hash | about.file.sha256, about.file.md5, about.file.sha1 |
| file_name | about.labels.key/value |
| file_size | about.file.size |
| internal_message_id | metadata.product_log_id |
| message_id | network.email.mail_id |
| message_info | about.labels.key/value |
| orig_dest | target.labels.key/value |
| orig_recipient | about.labels.key/value |
| orig_src | network.email.from |
| process | principal.process.command_line |
| process_id | principal.process.pid |
| 프로토콜 | network.application_protocol |
| recipient | network.email.to |
| recipient_count | about.labels.key/value |
| recipient_domain | about.labels.key/value |
| recipient_status | about.labels.key/value |
| response_time | about.labels.key/value |
| retries | about.labels.key/value |
| return_addr | about.labels.key/value |
| 크기 | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_user | principal.user.email_addresses |
| src_user_bunit | principal.labels.key/value |
| src_user_category | principal.labels.key/value |
| src_user_domain | principal.administrative_domain |
| src_user_priority | principal.labels.key/value |
| status_code | about.labels.key/value |
| subject | network.email.subject(repeated) |
| 태그 | about.labels.key/value |
| url | about.url |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
| xdelay | about.labels.key/value |
| xref | about.labels.key/value |
필터링
다음 표에는 Splunk 데이터 세트 필터링의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| filter_action | about.labels.key/value |
| filter_score | about.labels.key/value |
| signature | metadata.description |
| signature_extra | about.labels.key/value |
| signature_id | metadata.product_event_type |
포트
다음 표에는 Splunk 데이터 세트 포트의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| creation_time | about.labels.key/value |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_port | target.port |
| dest_priority | target.labels.key/value |
| dest_requires_av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_port | principal.port |
| src_requires_av | principal.labels.key/value |
| src_should_timesync | principal.labels.key/value |
| src_should_update | principal.labels.key/value |
| state | about.labels.key/value |
| 태그 | about.labels.key/value |
| 전송 | network.ip_protocol |
| transport_dest_port | target.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
프로세스
다음 표에는 Splunk 데이터 세트 프로세스의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| cpu_load_percent | about.labels.key/value |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_is_expected | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_requires_av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| mem_used | about.labels.key/value |
| original_file_name | src.file.full_path |
| os | principal.asset.platform_software.platform_version |
| parent_process | about.labels.key/value |
| parent_process_exec | about.labels.key/value |
| parent_process_id | principal.process.parent_process.parent_pid |
| parent_process_guid | principal.process.parent_process.product_specific_process_id |
| parent_process_name | about.labels.key/value |
| parent_process_path | principal.process.parent_process.command_line |
| process | about.labels.key/value |
| process_current_directory | about.labels.key/value |
| process_exec | about.labels.key/value |
| process_hash | principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1 |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| process_integrity_level | security_result.severity |
| process_name | principal.process.command_line |
| process_path | principal.process.file.full_path |
| 태그 | about.labels.key/value |
| user | principal.user.user_display_name |
| user_id | principal.user.userid |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
서비스
다음 표에는 Splunk 데이터 세트 서비스의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| description | security_result.description |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_is_expected | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_requires_av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| 서비스 | target.application |
| service_dll | about.labels.key/value |
| service_dll_path | about.file.full_path |
| service_dll_hash | about.labels.key/value |
| service_dll_signature_exists | about.labels.key/value |
| service_dll_signature_verified | about.labels.key/value |
| service_exec | target.process.file.full_path |
| service_hash | about.labels.key/value |
| service_id | about.labels.key/value |
| service_name | about.labels.key/value |
| service_path | about.labels.key/value |
| service_signature_exists | about.labels.key/value |
| service_signature_verified | about.labels.key/value |
| start_mode | about.labels.key/value |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
파일 시스템
다음 표에는 Splunk 데이터 세트 파일 시스템의 로그 필드 및 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_requires_av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| file_access_time | about.labels.key/value |
| file_create_time | target.asset.attribute.creation_time |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_modify_time | about.labels.key/value |
| file_name | about.labels.key/value |
| file_path | target.file.full_path |
| file_acl | about.labels.key/value |
| file_size | target.file.size |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| 태그 | about.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
레지스트리
다음 표에는 Splunk 데이터 세트 레지스트리의 로그 필드 및 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_requires_av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| registry_hive | about.labels.key/value |
| registry_path | about.labels.key/value |
| registry_key_name | target.registry.registry_key |
| registry_value_data | target.registry.registry_value_data |
| registry_value_name | target.registry.registry_value_name |
| registry_value_text | about.labels.key/value |
| registry_value_type | about.labels.key/value |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
서명
다음 표에는 Splunk 데이터 세트 서명의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| 태그 | about.labels.key/value |
Signatures_vendor_product
다음 표에는 Splunk 데이터 세트 Signatures_vendor_product에 대한 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| vendor_product | about.labels.key/value |
All_Interprocess_Messaging
다음 표에는 Splunk 데이터 세트 All_Interprocess_Messaging의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| duration | network.session_duration |
| 엔드포인트 | about.labels.key/value |
| endpoint_version | about.labels.key/value |
| 메시지 | about.labels.key/value |
| message_consumed_time | about.labels.key/value |
| message_correlation_id | about.labels.key/value |
| message_delivered_time | about.labels.key/value |
| message_delivery_mode | about.labels.key/value |
| message_expiration_time | about.labels.key/value |
| message_id | metadata.product.log_id |
| message_priority | about.labels.key/value |
| message_properties | about.labels.key/value |
| message_received_time | about.labels.key/value |
| message_redelivered | about.labels.key/value |
| message_reply_dest | target.labels.key/value |
| message_type | about.labels.key/value |
| 매개변수 | about.labels.key/value |
| payload | about.labels.key/value |
| payload_type | about.labels.key/value |
| request_payload | about.labels.key/value |
| request_payload_type | about.labels.key/value |
| request_sent_time | about.labels.key/value |
| response_code | network.http.response_code |
| response_payload_type | about.labels.key/value |
| response_received_time | about.labels.key/value |
| response_time | about.labels.key/value |
| return_message | about.labels.key/value |
| rpc_protocol | network.application_protocol |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value |
IDS_Attacks
다음 표에는 Splunk 데이터 세트 IDS_Attacks의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 카테고리 | security_result.category_details |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value |
| dvc_category | about.labels.key/value |
| dvc_priority | about.labels.key/value |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value |
| file_path | target.file.full_path |
| ids_type | about.labels.key/value |
| 심각도 | security_result.severity |
| severity_id | about.labels.key/value |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_port | principal.port |
| 태그 | about.labels.key/value |
| 전송 | network.ip_protocol |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
DS_Attacks
다음 표에는 Splunk 데이터 세트 DS_Attacks의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest_port | target.port |
All_Inventory
다음 표에는 Splunk 데이터 세트 All_Inventory에 대한 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| description | security_result.description |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| 사용 설정됨 | about.labels.key/value |
| 계열 | about.labels.key/value |
| hypervisor_id | about.labels.key/value |
| serial | principal.asset.hardware.serial_number |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value |
| vendor_product | about.labels.key/value |
| version | about.labels.key/value |
CPU
다음 표에는 Splunk 데이터 세트 CPU의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| cpu_cores | principal.asset.hardware.cpu_number_cores |
| cpu_count | about.labels.key/value |
| cpu_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_percent | about.labels.key/value |
| cpu_time | about.labels.key/value |
| cpu_user_percent | about.labels.key/value |
메모리
다음 표에는 Splunk 데이터 세트 메모리의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 메모리 | principal.asset.hardware.ram |
| heap_committed | about.labels.key/value |
| heap_initial | about.labels.key/value |
| heap_max | about.labels.key/value |
| heap_used | about.labels.key/value |
| non_heap_committed | about.labels.key/value |
| non_heap_initial | about.labels.key/value |
| non_heap_max | about.labels.key/value |
| non_heap_used | about.labels.key/value |
| objects_pending | about.labels.key/value |
| 메모리 | principal.asset.hardware.ram |
| mem_committed | about.labels.key/value |
| mem_free | about.labels.key/value |
| mem_used | about.labels.key/value |
| 스왑 | about.labels.key/value |
| swap_free | about.labels.key/value |
| swap_used | about.labels.key/value |
네트워크
다음 표에는 Splunk 데이터 세트 네트워크의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest_ip | target.ip |
| dns | about.labels.key/value |
| inline_nat | about.labels.key/value |
| 인터페이스 | about.labels.key/value |
| ip | principal.asset.ip |
| lb_method | about.labels.key/value |
| mac | principal.asset.mac |
| name | principal.resource.name |
| 노드 | about.labels.key/value |
| node_port | target.port |
| src_ip | principal.ip |
| vip_port | about.labels.key/value |
| thruput | about.labels.key/value |
| thruput_max | about.labels.key/value |
OS
다음 표에는 Splunk 데이터 세트 OS의 로그 필드 및 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| os | principal.asset.platform_software.platform_version |
| committed_memory | about.labels.key/value |
| cpu_time | about.labels.key/value |
| free_physical_memory | about.labels.key/value |
| free_swap | about.labels.key/value |
| max_file_descriptors | about.labels.key/value |
| open_file_descriptors | about.labels.key/value |
| os | principal.asset.platform_software.platform_version |
| os_architecture | about.labels.key/value |
| os_version | about.labels.key/value |
| physical_memory | about.labels.key/value |
| swap_space | about.labels.key/value |
| system_load | about.labels.key/value |
| total_processors | about.labels.key/value |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
스토리지
다음 표에는 Splunk 데이터 세트 스토리지의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 배열 | about.labels.key/value |
| blocksize | about.labels.key/value |
| 클러스터 | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value |
| 지연 시간 | about.labels.key/value |
| mount | principal.resource.attribute.labels.key/value |
| parent | principal.resource.parent |
| read_blocks | about.labels.key/value |
| read_latency | about.labels.key/value |
| read_ops | about.labels.key/value |
| storage | about.labels.key/value |
| write_blocks | about.labels.key/value |
| write_latency | about.labels.key/value |
| write_ops | about.labels.key/value |
| 배열 | about.labels.key/value |
| blocksize | about.labels.key/value |
| 클러스터 | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value |
| fd_used | about.labels.key/value |
| 지연 시간 | about.labels.key/value |
| mount | about.labels.key/value |
| parent | principal.resource.parent |
| read_blocks | about.labels.key/value |
| read_latency | about.labels.key/value |
| read_ops | about.labels.key/value |
| storage | about.labels.key/value |
| storage_free | about.labels.key/value |
| storage_free_percent | about.labels.key/value |
| storage_used | about.labels.key/value |
| storage_used_percent | about.labels.key/value |
| write_blocks | about.labels.key/value |
| write_latency | about.labels.key/value |
| write_ops | about.labels.key/value |
| error_code | security_result.description |
| 작업 | about.labels.key/value |
| storage_name | about.resource.name |
사용자
다음 표에는 Splunk 데이터 세트 사용자의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 양방향 | about.labels.key/value |
| 비밀번호 | about.labels.key/value |
| shell | about.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
Virtual_OS
다음 표에는 Splunk 데이터 세트 Virtual_OS의 로그 필드 및 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 하이퍼바이저 | about.labels.key/value |
스냅샷
다음 표에는 Splunk 데이터 세트 스냅샷의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 크기 | about.file.size |
| snapshot | about.labels.key/value |
| 시간 | about.labels.key/value |
JVM
다음 표에는 Splunk 데이터 세트 JVM의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| jvm_description | security_result.description |
| 태그 | about.labels.key/value |
Threading
다음 표에는 Splunk 데이터 세트 스레딩의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| cm_enabled | about.labels.key/value |
| cm_supported | about.labels.key/value |
| cpu_time_enabled | about.labels.key/value |
| cpu_time_supported | about.labels.key/value |
| current_cpu_time | about.labels.key/value |
| current_user_time | about.labels.key/value |
| daemon_thread_count | about.labels.key/value |
| omu_supported | about.labels.key/value |
| peak_thread_count | about.labels.key/value |
| synch_supported | about.labels.key/value |
| thread_count | about.labels.key/value |
| threads_started | about.labels.key/value |
런타임
다음 표에는 Splunk 데이터 세트 런타임의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| process_name | principal.process.command_line |
| start_time | about.labels.key/value |
| uptime | about.labels.key/value |
| vendor_product | about.labels.key/value |
| version | about.labels.key/value |
Compilation
다음 표에는 Splunk 데이터 세트 컴파일에 대한 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| compilation_time | about.labels.key/value |
Classloading
다음 표에는 Splunk 데이터 세트 Classloading의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| current_loaded | about.labels.key/value |
| total_loaded | about.labels.key/value |
| total_unloaded | about.labels.key/value |
Malware_Attacks
다음 표에는 Splunk 데이터 세트 Malware_Attacks의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 카테고리 | security_result.category_details |
| date | about.labels.key/value |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_nt_domain | target.administrative_domain |
| dest_priority | target.labels.key/value |
| dest_requires_av | target.labels.key/value |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value |
| file_path | target.file.full_path |
| 심각도 | security_result.severity |
| severity_id | about.labels.key/value |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_user | principal.user.user_display_name |
| 태그 | about.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| url | about.url |
| vendor_product | about.labels.key/value |
Malware_Operations
다음 표에는 Splunk 데이터 세트 Malware_Operations의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_nt_domain | target.labels.key/value |
| dest_nt_domain | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_requires_av | target.labels.key/value |
| product_version | about.labels.key/value |
| signature_version | security_result.rule_version |
| 태그 | about.labels.key/value |
| vendor_product | about.labels.key/value |
Malware_Operations
다음 표에는 Splunk 데이터 세트 Malware_Operations의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest_category | target.labels.key/value |
DNS
다음 표에는 Splunk 데이터 세트 DNS의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| additional_answer_count | about.labels.key/value |
| answer | network.dns.answer.data |
| answer_count | about.labels.key/value |
| authority_answer_count | about.labels.key/value |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_port | target.port |
| dest_priority | target.labels.key/value |
| duration | network.session_duration |
| message_type | about.labels.key/value |
| name | about.labels.key/value |
| 쿼리 | network.dns.questions.name |
| query_count | about.labels.key/value |
| query_type | network.dns.questions.type |
| record_type | network.dns.answer.type(uint32) |
| reply_code | about.labels.key/value |
| reply_code_id | network.dns.response_code |
| response_time | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_port | principal.port |
| src_priority | principal.labels.key/value |
| 태그 | about.labels.key/value |
| transaction_id | network.dns.id |
| 전송 | network.ip_protocol |
| ttl | about.labels.key/value |
| vendor_product | about.labels.key/value |
All_Sessions
다음 표에는 Splunk 데이터 세트 All_Sessions에 대한 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_dns | target.labels.key/value |
| dest_ip | network.dhcp.ciaddr |
| dest_mac | network.dhcp.chaddr |
| dest_nt_host | target.labels.key/value |
| dest_priority | target.labels.key/value |
| duration | network.session_duration |
| response_time | about.labels.key/value |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_dns | principal.labels.key/value |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_nt_host | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| 태그 | about.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
DHCP
다음 표에는 Splunk 데이터 세트 DHCP의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| lease_duration | network.dhcp.lease_time_second |
| lease_scope | about.labels.key/value |
All_Traffic
다음 표에는 Splunk 데이터 세트 All_Traffic의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 앱 | network.application_protocol |
| 바이트 | about.labels.key/value |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| channel | about.labels.key/value |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_interface | target.labels.key/value |
| dest_ip | target.ip |
| dest_mac | target.mac |
| dest_port | target.port |
| dest_priority | target.labels.key/value |
| dest_translated_ip | target.nat_ip |
| dest_translated_port | target.nat_port |
| dest_zone | target.location.country_or_origin |
| direction | network.direction |
| duration | network.session_duration |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value |
| dvc_category | about.labels.key/value |
| dvc_ip | about.labels.key/value |
| dvc_mac | principal.asset.mac |
| dvc_priority | about.labels.key/value |
| dvc_zone | principal.asset.location.country_or_region |
| flow_id | about.labels.key/value |
| icmp_code | about.labels.key/value |
| icmp_type | about.labels.key/value |
| packets | about.labels.key/value |
| packets_in | about.labels.key/value |
| packets_out | about.labels.key/value |
| 프로토콜 | about.labels.key/value |
| protocol_version | about.labels.key/value |
| response_time | about.labels.key/value |
| 규칙 | security_result.rule_id |
| session_id | network.session_id |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_interface | principal.labels.key/value |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_port | principal.port |
| src_priority | principal.labels.key/value |
| src_translated_ip | principal.nat_ip |
| src_translated_port | principal.nat_port |
| src_zone | principal.location.country_or_origin |
| ssid | about.labels.key/value |
| 태그 | about.labels.key/value |
| tcp_flag | about.labels.key/value |
| 전송 | network.ip_protocol |
| tos | about.labels.key/value |
| ttl | network.dns.additional.ttl |
| user | about.labels.key/value |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value |
| vendor_product | about.labels.key/value |
| vlan | about.labels.key/value |
| wifi | about.labels.key/value |
All_Performance
다음 표에는 Splunk 데이터 세트 All_Performance의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| hypervisor_id | about.labels.key/value |
| resource_type | about.labels.key/value |
| 태그 | about.labels.key/value |
Facilities
다음 표에는 Splunk 데이터 세트 Facilities의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| fan_speed | about.labels.key/value |
| power | about.labels.key/value |
| 온도 | about.labels.key/value |
Timesync
다음 표에는 Splunk 데이터 세트 Timesync의 로그 필드 및 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
업타임
다음 표에는 Splunk 데이터 세트 업타임에 대한 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| uptime | about.labels.key/value |
View_Activity
다음 표에는 Splunk 데이터 세트 View_Activity의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 앱 | target.application |
| spent | about.labels.key/value |
| uri | about.labels.key/value |
| user | principal.user.user_display_name |
| 뷰 | about.labels.key/value |
Datamodel_Acceleration
다음 표에는 Splunk 데이터 세트 Datamodel_Acceleration의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| access_count | about.labels.key/value |
| access_time | about.labels.key/value |
| 앱 | target.application |
| 버킷 | about.labels.key/value |
| buckets_size | about.labels.key/value |
| complete | about.labels.key/value |
| 크론 | about.labels.key/value |
| datamodel | about.labels.key/value |
| 다이제스트 | about.labels.key/value |
| earliest | about.labels.key/value |
| is_inprogress | about.labels.key/value |
| last_error | about.labels.key/value |
| last_sid | about.labels.key/value |
| latest | about.labels.key/value |
| mod_time | about.labels.key/value |
| 보관 | about.labels.key/value |
| 크기 | about.file.size |
| summary_id | about.labels.key/value |
Search_Activity
다음 표에는 Splunk 데이터 세트 Search_Activity에 대한 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 호스트 | about.hostname |
| 정보 | about.labels.key/value |
| 검색 | about.labels.key/value |
| search_et | about.labels.key/value |
| search_lt | about.labels.key/value |
| search_type | about.labels.key/value |
| source | principal.labels.key/value |
| sourcetype | principal.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Scheduler_Activity
다음 표에는 Splunk 데이터 세트 Scheduler_Activity의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 앱 | target.application |
| 호스트 | about.hostname |
| savedsearch_name | about.labels.key/value |
| sid | about.labels.key/value |
| source | principal.labels.key/value |
| sourcetype | principal.labels.key/value |
| splunk_server | principal.ip, principal.hostname |
| 상태 | security_result.summary |
| user | principal.user.user_display_name |
Web_Service_Errors
다음 표에는 Splunk 데이터 세트 Web_Service_Errors의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 호스트 | about.hostname |
| source | principal.labels.key/value |
| sourcetype | principal.labels.key/value |
| event_id | security_result.rule_name |
Modular_Actions
다음 표에는 Splunk 데이터 세트 Modular_Actions의 로그 필드 및 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| action_mode | about.labels.key/value |
| action_status | about.labels.key/value |
| 앱 | target.application |
| duration | network.session_duration |
| 구성요소 | about.labels.key/value |
| orig_rid | about.labels.key/value |
| orig_sid | about.labels.key/value |
| rid | about.labels.key/value |
| search_name | about.labels.key/value |
| action_name | security_result.action_details |
| signature | metadata.description |
| sid | about.labels.key/value |
| user | about.labels.key/value |
All_Ticket_Management
다음 표에는 Splunk 데이터 세트 All_Ticket_Management의 로그 필드 및 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| affect_dest | target.labels.key/value |
| 댓글 | about.labels.key/value |
| description | security_result.description |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| priority | security_result.priority_details |
| 심각도 | security_result.severity |
| severity_id | about.labels.key/value |
| splunk_id | about.labels.key/value |
| splunk_realm | about.labels.key/value |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value |
| src_user_category | principal.labels.key/value |
| src_user_priority | principal.labels.key/value |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value |
| ticket_id | target.user.attribute.label.ley/value |
| time_submitted | principal.user.attribute.creation_time |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
변경
다음 표에는 Splunk 데이터 세트 변경사항의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 변경 | about.labels.key/value |
이슈
다음 표에는 Splunk 데이터 세트 이슈의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 이슈 | about.labels.key/value |
문제
다음 표에는 Splunk 데이터 세트 문제의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 문제 | about.labels.key/value |
업데이트
다음 표에는 Splunk 데이터 세트 업데이트의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| dvc | principal.asset.hostname, principal.asset.ip |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value |
| 심각도 | security_result.severity |
| severity_id | about.labels.key/value |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value |
| vendor_product | about.labels.key/value |
취약점
다음 표에는 Splunk 데이터 세트 취약점에 대한 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| bugtraq | about.labels.key/value |
| 카테고리 | security_result.category_details |
| cert | about.labels.key/value |
| cve | vulnerabilites.cve_description |
| cvss | vulnerabilites.cvss_base_score |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value |
| dvc_category | about.labels.key/value |
| dvc_priority | about.labels.key/value |
| msft | about.labels.key/value |
| mskb | about.labels.key/value |
| 심각도 | extensions.vulns.vulnerabilites.severity |
| severity_id | about.labels.key/value |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| 태그 | about.labels.key/value |
| url | extensions.vulns.vulnerabilites.about.url |
| user | extensions.vulns.vulnerabilites.about.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
| xref | about.labels.key/value |
웹
다음 표에는 Splunk 데이터 세트 웹의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 앱 | target.application |
| 바이트 | about.labels.key/value |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| cached | about.labels.key/value |
| 카테고리 | security_result.category_details |
| 쿠키 | about.labels.key/value |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_port | target.port |
| duration | network.session_duration |
| http_content_type | about.labels.key/value |
| http_method | network.http.method |
| http_referrer | network.http.referral_url |
| http_referrer_domain | about.labels.key/value |
| http_user_agent | network.http.user_agent |
| http_user_agent_length | about.labels.key/value |
| response_time | about.labels.key/value |
| 사이트 | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| 상태 | network.http.response_code |
| 태그 | about.labels.key/value |
| uri_path | about.labels.key/value |
| uri_query | about.labels.key/value |
| url | about.url |
| url_domain | about.asset.network_domain |
| url_length | about.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
UDM 이벤트 유형
다음 표에는 Splunk 태그와 해당하는 UDM 이벤트 유형이 나열되어 있습니다.
| 데이터 모델 | Splunk 태그 | UDM 이벤트 유형 |
|---|---|---|
| 알림 | 알림 | STATUS_UPDATE |
| 인증 | authentication | USER_UNCATEGORIZED |
| 인증서 | 인증서 | NETWORK_UNCATEGORIZED |
| 변경 | 변경 | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| 데이터 액세스 | 데이터, 액세스 | USER_RESOURCE_ACCESS |
| 데이터베이스 | 데이터베이스 | USER_RESOURCE_ACCESS |
| 데이터베이스 | 데이터베이스, 인스턴스, 통계 | STATUS_UPDATE |
| 데이터베이스 | 데이터베이스 인스턴스 상태 | STATUS_UPDATE |
| 데이터베이스 | 데이터베이스, 인스턴스, 잠금 | STATUS_UPDATE |
| 데이터베이스 | 데이터베이스, 쿼리 | STATUS_UPDATE |
| 데이터베이스 | 데이터베이스, 쿼리, 테이블스페이스 | STATUS_UPDATE |
| 데이터베이스 | 데이터베이스, 쿼리, 통계 | STATUS_UPDATE |
| 데이터 손실 방지 | dlp, 이슈 | SCAN_UNCATEGORIZED |
| 이메일 | 이메일 | EMAIL_UNCATEGORIZED |
| 이메일 | 이메일, 전송 | EMAIL_TRANSACTION |
| 엔드포인트 | 리슨, 포트 | SERVICE_UNSPECIFIED |
| 엔드포인트 | 프로세스, 보고 | PROCESS_UNCATEGORIZED |
| 엔드포인트 | 서비스, 신고 | SERVICE_UNSPECIFIED |
| 엔드포인트 | 엔드포인트, 파일 시스템 | FILE_UNCATEGORIZED |
| 엔드포인트 | 엔드포인트, 레지스트리 | REGISTRY_UNCATEGORIZED |
| 이벤트 서명 | track_event_signature | STATUS_UPDATE |
| 프로세스 간 메시징 | 메시징 | STATUS_UPDATE |
| 침입 감지 | ID, 공격 | SERVICE_UNSPECIFIED |
| 인벤토리 | 인벤토리 | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| 자바 가상 머신(JVM) | jvm | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| 멀웨어 | 멀웨어 | STATUS_UPDATE |
| 네트워크 확인(DNS) | 네트워크, 해상도, dns | NETWORK_DNS |
| 네트워크 세션 | 네트워크, 세션 | NETWORK_CONNECTION |
| 네트워크 세션 | 네트워크, 세션, dhcp | NETWORK_DHCP |
| 네트워크 트래픽 | 네트워크, 통신 | NETWORK_CONNECTION |
| 성능 | 성능 | SERVICE_UNSPECIFIED |
| Splunk 감사 로그 | modaction | STATUS_UPDATE |
| 티켓 관리 | 티켓 판매 | STATUS_UPDATE |
| 티켓 관리 | 티켓 판매, 변경 | STATUS_UPDATE |
| 업데이트 | update | STATUS_UPDATE |
| 취약점 | 보고서, 취약점 | SCAN_UNCATEGORIZED |
| 웹 | web | NETWORK_UNCATEGORIZED |