Splunk CIM 로그 수집
이 문서에서는 Splunk 및 Chronicle 전달자를 구성하여 Splunk Common Information Model(CIM)을 수집하는 방법을 설명합니다. 이 문서에는 지원되는 로그 유형과 지원되는 Splunk 버전도 나와 있습니다.
자세한 내용은 Chronicle 데이터 수집을 참조하세요.
개요
다음 배포 아키텍처 다이어그램에서는 로그가 Chronicle에 전송되도록 Splunk 에이전트를 구성하는 방법을 보여줍니다. 각 고객 배포는 이 표현과 다를 수 있고 더 복잡할 수 있습니다.
이 아키텍처 다이어그램은 다음 구성요소를 보여줍니다.
데이터 소스: Splunk가 설치된 모니터링할 시스템입니다.
Splunk: 데이터 소스에서 정보를 수집하여 정보를 Chronicle 전달자에게 전달합니다.
Chronicle 전달자: 로그가 Chronicle로 전송되도록 고객 네트워크에 배포된 경량 소프트웨어 구성요소입니다.
Chronicle: Fleet 서버의 로그를 보관하고 분석합니다.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 SPLUNK 수집 라벨이 있는 파서에 적용됩니다.
시작하기 전에
Chronicle 파서에서 지원하는 Splunk 버전 5.0을 사용합니다.
배포 아키텍처의 모든 시스템이 UTC 시간대로 구성되었는지 확인합니다.
Splunk 에이전트 및 Chronicle 전달자 구성
Splunkbase에서 CIM 호환 에이전트를 설치합니다.
로그가 Chronicle 시스템으로 푸시되도록 Chronicle 전달자를 구성합니다. 다음은 Chronicle 전달자 구성의 예시입니다.
- splunk: common: enabled: true data_type: SPLUNK batch_n_seconds: 10 batch_n_bytes: 819200 url: <SPLUNK_URL> query_cim: true is_ignore_cert: true query_string: datamodel Network_Traffic All_Traffic flat
Splunk 검색어 작성 시 고려사항
Splunk에는 SQL과 유사한 자체 검색 언어가 있습니다. 검색어에 올바른 구문을 사용해야 합니다. 쿼리를 만들 때 다음 검색 특성을 고려하세요.
이스케이프 문자
문자열 값에 큰따옴표(")가 포함된 경우 다음과 같이 백슬래시 문자를 사용하여 따옴표를 이스케이프 처리합니다. 그렇지 않으면 검색에서 문자열 값의 끝을 잘못 해석합니다.
예시: 문자열 WHERE _raw="The user "vpatel" isn't authenticated."를 검색하려면 시퀀스 \" 를 사용하여 리터럴 큰따옴표를 검색합니다.
다음 형식으로 검색 문자열을 작성합니다.
WHERE _raw="The user \"vpatel\" isn't authenticated."
백슬래시 문자 \ 를 이스케이프 처리하려면 \\ 시퀀스를 사용하여 백슬래시를 검색합니다.
예를 들어 C:\user\abc과 같은 문자열이 있으면 C:\\user\\abc로 작성해야 합니다.
구문적으로 잘못된 검색
쿼리의 섹션이 잘못된 경우 전체 쿼리가 평가되지 않고 오류 메시지가 표시됩니다.
쿼리에 검색 모드 옵션이 누락된 다음 예시를 살펴보겠습니다.
multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]
이 예시에는 쿼리에 검색 모드 옵션이 없습니다. 이 경우 다음 오류가 발생합니다.
Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.
여러 데이터 모델 지원
Splunk는 데이터 모델에 걸친 단일 대규모 쿼리를 지원합니다. 다음 검색어는 여러 데이터 모델에서 데이터를 추출합니다.
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
데이터 모델에 걸친 이 쿼리의 구성요소는 다음과 같습니다.
Multisearch: 쿼리는 multisearch 단어로 시작해야 합니다. 데이터 모델 쿼리는 대괄호 [ ] 안에 묶이고 파이프 | 문자로 시작해야 합니다.
Network_Traffic: 데이터 모델의 이름입니다.
All_Traffic: Network_Traffic 데이터 모델의 데이터 세트입니다.
flat: 검색 모드. 다른 옵션은 search 및 acceleration_search입니다.
여러 데이터 모델 검색에는 다음 Splunk 쿼리를 사용하는 것이 좋습니다.
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
지원되는 로그 유형 및 데이터 모델
| Splunk 데이터 모델 | 지원됨 |
|---|---|
| 알림 | 예 |
| 애플리케이션 상태(지원 중단됨) | 아니요 |
| 인증 | 예 |
| 인증서 | 예 |
| 변경 | 예 |
| 변경 분석(지원 중단됨) | 아니요 |
| 데이터 액세스 | 예 |
| 데이터베이스 | 예 |
| 데이터 손실 방지 | 예 |
| 이메일 | 예 |
| 엔드포인트 | 예 |
| 이벤트 서명 | 예 |
| 프로세스 간 메시지 | 예 |
| 침입 감지 | 예 |
| 인벤토리 | 예 |
| 자바 가상 머신(JVM) | 예 |
| 멀웨어 | 예 |
| 네트워크 확인(DNS) | 예 |
| 네트워크 세션 | 예 |
| 네트워크 트래픽 | 예 |
| 성능 | 예 |
| Splunk 감사 로그 | 예 |
| 티켓 관리 | 예 |
| 업데이트 | 예 |
| 취약점 | 예 |
| 웹 | 예 |
필드 매핑 참조
이 섹션에서는 Chronicle 파서가 Splunk 로그 필드를 데이터 세트의 Chronicle 통합 데이터 모델(UDM) 필드에 매핑하는 방법을 설명합니다. 자세한 내용은 버전 5.0.1용 Splunk 문서를 참조하세요.
알림
다음 표에는 Splunk 데이터 세트 Alerts의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 앱 | observer.application |
| description | security_result.description |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_type | target.resource.resource_type |
| id | metadata.product_log_id |
| mitre_technique_id | security_result.detection_fields.labels.key/value |
| 심각도 | security_result.severity |
| severity_id | about.labels.key/value |
| signature | metadata.description |
| signature_id | security_result.rule_name |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_type | principal.resource.resource_type |
| 태그 | about.labels.key/value |
| type | security_result.alert_state |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_name | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value |
| vendor_region | about.location.country_or_region |
인증
다음 표에는 Splunk 데이터 세트 인증의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 앱 | target.application |
| authentication_method | about.labels.key/value |
| authentication_service | extension.auth.auth_details |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_nt_domain | target.labels.key/value |
| dest_priority | target.labels.key/value |
| duration | network.session_duration |
| reason | security_result.summary |
| response_time | about.labels.key/value |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_nt_domain | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value |
| src_user_category | principal.labels.key/value |
| src_user_id | principal.user.userid |
| src_user_priority | principal.labels.key/value |
| src_user_role | principal.user.attribute.roles.name(repeated) |
| src_user_type | principal.user.attribute.roles.type |
| 태그 | about.labels.key/value |
| user | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| user_role | principal.user.attribute.roles.name(repeated) |
| user_type | principal.user.attribute.roles.type |
| vendor_account | about.labels.key/value |
All_Certificates
다음 표에는 Splunk 데이터 세트 All_Certificates의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_port | target.port |
| dest_priority | target.labels.key/value |
| duration | network.session_duration |
| response_time | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_port | principal.port |
| src_priority | principal.labels.key/value |
| 태그 | about.labels.key/value |
| 전송 | network.ip_protocol |
SSL
다음 표에는 Splunk 데이터 세트 SSL의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| ssl_end_time | network.tls.server.certificate.not_after |
| ssl_engine | about.labels.key/value |
| ssl_hash | about.labels.key/value |
| ssl_is_valid | about.labels.key/value |
| ssl_issuer | network.tls.server.certificate.issuer |
| ssl_issuer_common_name | about.labels.key/value |
| ssl_issuer_email | about.labels.key/value |
| ssl_issuer_email_domain | about.labels.key/value |
| ssl_issuer_locality | about.labels.key/value |
| ssl_issuer_organization | about.labels.key/value |
| ssl_issuer_state | about.labels.key/value |
| ssl_issuer_street | about.labels.key/value |
| ssl_issuer_unit | about.labels.key/value |
| ssl_name | about.labels.key/value |
| ssl_policies | about.labels.key/value |
| ssl_publickey | about.labels.key/value |
| ssl_publickey_algorithm | about.labels.key/value |
| ssl_serial | network.tls.server.certificate.serial |
| ssl_session_id | network.session_id |
| ssl_signature_algorithm | about.labels.key/value |
| ssl_start_time | network.tls.server.certificate.not_before |
| ssl_subject | network.tls.server.certificate.subject |
| ssl_subject_common_name | about.labels.key/value |
| ssl_subject_email | about.labels.key/value |
| ssl_subject_email_domain | about.labels.key/value |
| ssl_subject_locality | about.labels.key/value |
| ssl_subject_organization | about.labels.key/value |
| ssl_subject_state | about.labels.key/value |
| ssl_subject_street | about.labels.key/value |
| ssl_subject_unit | about.labels.key/value |
| ssl_validity_window | about.labels.key/value |
| ssl_version | network.tls.server.certificate.version |
All_Changes
다음 표에는 Splunk 데이터 세트 All_Changes의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| change_type | security_result.category_details |
| 명령어 | principal.process.command_line |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dvc | principal.asset.hostname, principal.asset.ip |
| 객체 | target.resource.name |
| object_attrs | about.labels.key/value |
| object_category | about.labels.key/value |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| result | metadata.description |
| result_id | metadata.product_event_type |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value |
| user | target.user.userid |
| user_agent | network.http.user_agent |
| user_name | principal.user.user_display_name, target.labels.key/value |
| user_type | principal.user.attribute.roles.type, target.user.attribute.roles.type |
| vendor_account | about.labels.key/value |
| vendor_product | about.labels.key/value |
| vendor_region | about.location.country_or_region |
Account_Management
다음 표에는 Splunk 데이터 세트 Account_Management의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest_nt_domain | target.administrative_domain |
| src_nt_domain | principal.administrative_domain |
| src_user | principal.user.userid |
| src_user_bunit | principal.labels.key/value |
| src_user_category | principal.labels.key/value |
| src_user_priority | principal.labels.key/value |
| src_user_name | principal.labels.key/value |
| src_user_type | principal.user.attribute.roles.type |
Instance_Changes
다음 표에는 Splunk 데이터 세트 Instance_Changes의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| image_id | principal.asset_id |
| instance_type | about.labels.key/value |
network_Changes
다음 표에는 Splunk 데이터 세트 network_Changes의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest_ip_range | target.labels.key/value |
| dest_port_range | target.labels.key/value |
| direction | network.direction |
| protocol | network.ip_protocol |
| rule_action | security_result.action_details security_result.action |
| src_ip_range | principal.labels.key/value |
| src_port_range | principal.labels.key/value |
Data_Access
다음 표에는 Splunk 데이터 세트 Data_Access의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 앱 | target.application |
| app_id | metadata.product_log_id |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_name | target.administrative_domain |
| dest_url | target.url |
| dvc | principal.asset.hostname, principal.asset.ip |
| 이메일 | principal.user.email_addresses |
| 객체 | target.resource.name |
| object_category | about.labels.key/value |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| object_size | target.file.size |
| 소유자 | about.labels.key/value |
| owner_email | about.labels.key/value |
| owner_id | principal.user.userid |
| parent_object | target.resource.parent |
| parent_object_id | about.labels.key/value |
| parent_object_category | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| tenant_id | about.labels.key/value |
| user | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_group | principal.user.group_identifiers(repeated) |
| user_role | principal.user.attribute.roles.name(repeated) |
| vendor_product | about.labels.key/value |
| vendor_product_id | about.labels.key/value |
All_Databases
다음 표에는 Splunk 데이터 세트 All_Databases의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| duration | network.session_duration |
| 객체 | target.resource.name |
| response_time | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| 태그 | about.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
Database_Instance
다음 표에는 Splunk 데이터 세트 Database_Instance의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| instance_name | target.resource.attributes.key/value |
| instance_version | target.resource.attributes.key/value |
| process_limit | about.labels.key/value |
| session_limit | about.labels.key/value |
Database_Query
다음 표에는 Splunk 데이터 세트 Database_Query의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 쿼리 | about.labels.key/value |
| query_id | about.labels.key/value |
| query_time | about.labels.key/value |
| records_affected | about.labels.key/value |
Instance_Stats
다음 표에는 Splunk 데이터 세트 Instance_Stats의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| availability | about.labels.key/value |
| avg_executions | about.labels.key/value |
| dump_area_used | about.labels.key/value |
| instance_reads | about.labels.key/value |
| instance_writes | about.labels.key/value |
| number_of_users | about.labels.key/value |
| 프로세스 | about.labels.key/value |
| sessions | about.labels.key/value |
| sga_buffer_cache_size | about.labels.key/value |
| sga_buffer_hit_limit | about.labels.key/value |
| sga_data_dict_hit_ratio | about.labels.key/value |
| sga_fixed_area_size | about.labels.key/value |
| sga_free_memory | about.labels.key/value |
| sga_library_cache_size | about.labels.key/value |
| sga_redo_log_buffer_size | about.labels.key/value |
| sga_shared_pool_size | about.labels.key/value |
| sga_sql_area_size | about.labels.key/value |
| start_time | about.labels.key/value |
| tablespace_used | about.labels.key/value |
Session_Info
다음 표에는 Splunk 데이터 세트 Session_Info의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| buffer_cache_hit_ratio | about.labels.key/value |
| commits | about.labels.key/value |
| cpu_used | about.labels.key/value |
| cursor | about.labels.key/value |
| elapsed_time | about.labels.key/value |
| logical_reads | about.labels.key/value |
| machine | about.hostname |
| memory_sorts | about.labels.key/value |
| physical_reads | about.labels.key/value |
| seconds_in_wait | about.labels.key/value |
| session_id | network.session_id |
| session_status | about.labels.key/value |
| table_scans | about.labels.key/value |
| wait_state | about.labels.key/value |
| wait_time | about.labels.key/value |
Lock_Info
다음 표에는 Splunk 데이터 세트 Lock_Info의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| last_call_minute | about.labels.key/value |
| lock_mode | about.labels.key/value |
| lock_session_id | about.labels.key/value |
| logon_time | about.labels.key/value |
| obj_name | about.labels.key/value |
| os_pid | target.process.pid |
| serial_num | target.resource.product_object_id |
Tablespace
다음 표에는 Splunk 데이터 세트 Tablespace의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| free_bytes | about.file.size |
| tablespace_name | about.resource.name |
| tablespace_reads | about.labels.key/value |
| tablespace_status | about.labels.key/value |
| tablespace_writes | about.labels.key/value |
Query_Stats
다음 표에는 Splunk 데이터 세트 Query_Stats의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| indexes_hit | about.labels.key/value |
| query_plan_hit | about.labels.key/value |
| stored_procedures_called | about.labels.key/value |
| tables_hit | about.labels.key/value |
DLP_Incidents
다음 표에는 Splunk 데이터 세트 DLP_Incidents의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 앱 | target.application |
| 카테고리 | security_result.category_details |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_zone | target.location.country_or_origin |
| dlp_type | about.labels.key/value |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value |
| dvc_category | about.labels.key/value |
| dvc_priority | about.labels.key/value |
| dvc_zone | principal.asset.location.country_or_region |
| 객체 | target.resource.name |
| object_category | about.labels.key/value |
| object_path | target.file.full_path |
| 심각도 | security_result.severity |
| severity_id | about.labels.key/value |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value |
| src_user_category | principal.labels.key/value |
| src_user_priority | principal.labels.key/value |
| src_zone | principal.location.country_or_origin |
| 태그 | about.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
All_Email
다음 표에는 Splunk 데이터 세트 All_Email의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| delay | about.labels.key/value |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| duration | network.session_duration |
| file_hash | about.file.sha256, about.file.md5, about.file.sha1 |
| file_name | about.labels.key/value |
| file_size | about.file.size |
| internal_message_id | metadata.product_log_id |
| message_id | network.email.mail_id |
| message_info | about.labels.key/value |
| orig_dest | target.labels.key/value |
| orig_recipient | about.labels.key/value |
| orig_src | network.email.from |
| process | principal.process.command_line |
| process_id | principal.process.pid |
| 프로토콜 | network.application_protocol |
| recipient | network.email.to |
| recipient_count | about.labels.key/value |
| recipient_domain | about.labels.key/value |
| recipient_status | about.labels.key/value |
| response_time | about.labels.key/value |
| retries | about.labels.key/value |
| return_addr | about.labels.key/value |
| size | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_user | principal.user.email_addresses |
| src_user_bunit | principal.labels.key/value |
| src_user_category | principal.labels.key/value |
| src_user_domain | principal.administrative_domain |
| src_user_priority | principal.labels.key/value |
| status_code | about.labels.key/value |
| subject | network.email.subject(repeated) |
| 태그 | about.labels.key/value |
| url | about.url |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
| xdelay | about.labels.key/value |
| xref | about.labels.key/value |
필터링
다음 표에는 Splunk 데이터 세트 Filtering의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| filter_action | about.labels.key/value |
| filter_score | about.labels.key/value |
| signature | metadata.description |
| signature_extra | about.labels.key/value |
| signature_id | metadata.product_event_type |
포트
다음 표에는 Splunk 데이터 세트 Ports의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| creation_time | about.labels.key/value |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_port | target.port |
| dest_priority | target.labels.key/value |
| dest_requires_av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_port | principal.port |
| src_requires_av | principal.labels.key/value |
| src_should_timesync | principal.labels.key/value |
| src_should_update | principal.labels.key/value |
| state | about.labels.key/value |
| 태그 | about.labels.key/value |
| 전송 | network.ip_protocol |
| transport_dest_port | target.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
프로세스
다음 표에는 Splunk 데이터 세트 Processes의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| cpu_load_percent | about.labels.key/value |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_is_expected | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_requires_av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| mem_used | about.labels.key/value |
| original_file_name | src.file.full_path |
| os | principal.asset.platform_software.platform_version |
| parent_process | about.labels.key/value |
| parent_process_exec | about.labels.key/value |
| parent_process_id | principal.process.parent_process.parent_pid |
| parent_process_guid | principal.process.parent_process.product_specific_process_id |
| parent_process_name | about.labels.key/value |
| parent_process_path | principal.process.parent_process.command_line |
| process | about.labels.key/value |
| process_current_directory | about.labels.key/value |
| process_exec | about.labels.key/value |
| process_hash | principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1 |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| process_integrity_level | security_result.severity |
| process_name | principal.process.command_line |
| process_path | principal.process.file.full_path |
| 태그 | about.labels.key/value |
| user | principal.user.user_display_name |
| user_id | principal.user.userid |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
서비스
다음 표에는 Splunk 데이터 세트 Services의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| description | security_result.description |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_is_expected | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_requires_av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| 서비스 | target.application |
| service_dll | about.labels.key/value |
| service_dll_path | about.file.full_path |
| service_dll_hash | about.labels.key/value |
| service_dll_signature_exists | about.labels.key/value |
| service_dll_signature_verified | about.labels.key/value |
| service_exec | target.process.file.full_path |
| service_hash | about.labels.key/value |
| service_id | about.labels.key/value |
| service_name | about.labels.key/value |
| service_path | about.labels.key/value |
| service_signature_exists | about.labels.key/value |
| service_signature_verified | about.labels.key/value |
| start_mode | about.labels.key/value |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
파일 시스템
다음 표에는 Splunk 데이터 세트 Filesystem의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_requires_av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| file_access_time | about.labels.key/value |
| file_create_time | target.asset.attribute.creation_time |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_modify_time | about.labels.key/value |
| file_name | about.labels.key/value |
| file_path | target.file.full_path |
| file_acl | about.labels.key/value |
| file_size | target.file.size |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| 태그 | about.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
레지스트리
다음 표에는 Splunk 데이터 세트 Registry의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_requires_av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| registry_hive | about.labels.key/value |
| registry_path | about.labels.key/value |
| registry_key_name | target.registry.registry_key |
| registry_value_data | target.registry.registry_value_data |
| registry_value_name | target.registry.registry_value_name |
| registry_value_text | about.labels.key/value |
| registry_value_type | about.labels.key/value |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
서명
다음 표에는 Splunk 데이터 세트 Signatures의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| 태그 | about.labels.key/value |
Signatures_vendor_product
다음 표에는 Splunk 데이터 세트 Signatures_vendor_product의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| vendor_product | about.labels.key/value |
All_Interprocess_Messaging
다음 표에는 Splunk 데이터 세트 All_Interprocess_Messaging의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| duration | network.session_duration |
| 엔드포인트 | about.labels.key/value |
| endpoint_version | about.labels.key/value |
| message | about.labels.key/value |
| message_consumed_time | about.labels.key/value |
| message_correlation_id | about.labels.key/value |
| message_delivered_time | about.labels.key/value |
| message_delivery_mode | about.labels.key/value |
| message_expiration_time | about.labels.key/value |
| message_id | metadata.product.log_id |
| message_priority | about.labels.key/value |
| message_properties | about.labels.key/value |
| message_received_time | about.labels.key/value |
| message_redelivered | about.labels.key/value |
| message_reply_dest | target.labels.key/value |
| message_type | about.labels.key/value |
| 매개변수 | about.labels.key/value |
| payload | about.labels.key/value |
| payload_type | about.labels.key/value |
| request_payload | about.labels.key/value |
| request_payload_type | about.labels.key/value |
| request_sent_time | about.labels.key/value |
| response_code | network.http.response_code |
| response_payload_type | about.labels.key/value |
| response_received_time | about.labels.key/value |
| response_time | about.labels.key/value |
| return_message | about.labels.key/value |
| rpc_protocol | network.application_protocol |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value |
IDS_Attacks
다음 표에는 Splunk 데이터 세트 IDS_Attacks의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 카테고리 | security_result.category_details |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value |
| dvc_category | about.labels.key/value |
| dvc_priority | about.labels.key/value |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value |
| file_path | target.file.full_path |
| ids_type | about.labels.key/value |
| 심각도 | security_result.severity |
| severity_id | about.labels.key/value |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_port | principal.port |
| 태그 | about.labels.key/value |
| 전송 | network.ip_protocol |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
DS_Attacks
다음 표에는 Splunk 데이터 세트 DS_Attacks의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest_port | target.port |
All_Inventory
다음 표에는 Splunk 데이터 세트 All_Inventory의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| description | security_result.description |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| 사용 설정됨 | about.labels.key/value |
| family | about.labels.key/value |
| hypervisor_id | about.labels.key/value |
| serial | principal.asset.hardware.serial_number |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value |
| vendor_product | about.labels.key/value |
| version | about.labels.key/value |
CPU
다음 표에는 Splunk 데이터 세트 CPU의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| cpu_cores | principal.asset.hardware.cpu_number_cores |
| cpu_count | about.labels.key/value |
| cpu_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_percent | about.labels.key/value |
| cpu_time | about.labels.key/value |
| cpu_user_percent | about.labels.key/value |
메모리
다음 표에는 Splunk 데이터 세트 Memory의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 메모리 | principal.asset.hardware.ram |
| heap_committed | about.labels.key/value |
| heap_initial | about.labels.key/value |
| heap_max | about.labels.key/value |
| heap_used | about.labels.key/value |
| non_heap_committed | about.labels.key/value |
| non_heap_initial | about.labels.key/value |
| non_heap_max | about.labels.key/value |
| non_heap_used | about.labels.key/value |
| objects_pending | about.labels.key/value |
| 메모리 | principal.asset.hardware.ram |
| mem_committed | about.labels.key/value |
| mem_free | about.labels.key/value |
| mem_used | about.labels.key/value |
| 스왑 | about.labels.key/value |
| swap_free | about.labels.key/value |
| swap_used | about.labels.key/value |
네트워크
다음 표에는 Splunk 데이터 세트 네트워크의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest_ip | target.ip |
| dns | about.labels.key/value |
| inline_nat | about.labels.key/value |
| 인터페이스 | about.labels.key/value |
| ip | principal.asset.ip |
| lb_method | about.labels.key/value |
| mac | principal.asset.mac |
| name | principal.resource.name |
| 노드 | about.labels.key/value |
| node_port | target.port |
| src_ip | principal.ip |
| vip_port | about.labels.key/value |
| thruput | about.labels.key/value |
| thruput_max | about.labels.key/value |
OS
다음 표에는 Splunk 데이터 세트 OS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| os | principal.asset.platform_software.platform_version |
| committed_memory | about.labels.key/value |
| cpu_time | about.labels.key/value |
| free_physical_memory | about.labels.key/value |
| free_swap | about.labels.key/value |
| max_file_descriptors | about.labels.key/value |
| open_file_descriptors | about.labels.key/value |
| os | principal.asset.platform_software.platform_version |
| os_architecture | about.labels.key/value |
| os_version | about.labels.key/value |
| physical_memory | about.labels.key/value |
| swap_space | about.labels.key/value |
| system_load | about.labels.key/value |
| total_processors | about.labels.key/value |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
스토리지
다음 표에는 Splunk 데이터 세트 스토리지의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 배열 | about.labels.key/value |
| blocksize | about.labels.key/value |
| 클러스터 | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value |
| 지연 시간 | about.labels.key/value |
| mount | principal.resource.attribute.labels.key/value |
| parent | principal.resource.parent |
| read_blocks | about.labels.key/value |
| read_latency | about.labels.key/value |
| read_ops | about.labels.key/value |
| storage | about.labels.key/value |
| write_blocks | about.labels.key/value |
| write_latency | about.labels.key/value |
| write_ops | about.labels.key/value |
| 배열 | about.labels.key/value |
| blocksize | about.labels.key/value |
| 클러스터 | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value |
| fd_used | about.labels.key/value |
| 지연 시간 | about.labels.key/value |
| mount | about.labels.key/value |
| parent | principal.resource.parent |
| read_blocks | about.labels.key/value |
| read_latency | about.labels.key/value |
| read_ops | about.labels.key/value |
| storage | about.labels.key/value |
| storage_free | about.labels.key/value |
| storage_free_percent | about.labels.key/value |
| storage_used | about.labels.key/value |
| storage_used_percent | about.labels.key/value |
| write_blocks | about.labels.key/value |
| write_latency | about.labels.key/value |
| write_ops | about.labels.key/value |
| error_code | security_result.description |
| 작업 | about.labels.key/value |
| storage_name | about.resource.name |
사용자
다음 표에는 Splunk 데이터 세트 User의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 양방향 | about.labels.key/value |
| 비밀번호 | about.labels.key/value |
| shell | about.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
Virtual_OS
다음 표에는 Splunk 데이터 세트 Virtual_OS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 하이퍼바이저 | about.labels.key/value |
스냅샷
다음 표에는 Splunk 데이터 세트 Snapshot의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 크기 | about.file.size |
| snapshot | about.labels.key/value |
| time | about.labels.key/value |
JVM
다음 표에는 Splunk 데이터 세트 JVM의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| jvm_description | security_result.description |
| 태그 | about.labels.key/value |
Threading
다음 표에는 Splunk 데이터 세트 Threading의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| cm_enabled | about.labels.key/value |
| cm_supported | about.labels.key/value |
| cpu_time_enabled | about.labels.key/value |
| cpu_time_supported | about.labels.key/value |
| current_cpu_time | about.labels.key/value |
| current_user_time | about.labels.key/value |
| daemon_thread_count | about.labels.key/value |
| omu_supported | about.labels.key/value |
| peak_thread_count | about.labels.key/value |
| synch_supported | about.labels.key/value |
| thread_count | about.labels.key/value |
| threads_started | about.labels.key/value |
런타임
다음 표에는 Splunk 데이터 세트 Runtime의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| process_name | principal.process.command_line |
| start_time | about.labels.key/value |
| uptime | about.labels.key/value |
| vendor_product | about.labels.key/value |
| version | about.labels.key/value |
Compilation
다음 표에는 Splunk 데이터 세트 Compilation의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| compilation_time | about.labels.key/value |
Classloading
다음 표에는 Splunk 데이터 세트 Classloading의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| current_loaded | about.labels.key/value |
| total_loaded | about.labels.key/value |
| total_unloaded | about.labels.key/value |
Malware_Attacks
다음 표에는 Splunk 데이터 세트 Malware_Attacks의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 카테고리 | security_result.category_details |
| date | about.labels.key/value |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_nt_domain | target.administrative_domain |
| dest_priority | target.labels.key/value |
| dest_requires_av | target.labels.key/value |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value |
| file_path | target.file.full_path |
| 심각도 | security_result.severity |
| severity_id | about.labels.key/value |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_user | principal.user.user_display_name |
| 태그 | about.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| url | about.url |
| vendor_product | about.labels.key/value |
Malware_Operations
다음 표에는 Splunk 데이터 세트 Malware_Operations의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_nt_domain | target.labels.key/value |
| dest_nt_domain | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_requires_av | target.labels.key/value |
| product_version | about.labels.key/value |
| signature_version | security_result.rule_version |
| 태그 | about.labels.key/value |
| vendor_product | about.labels.key/value |
Malware_Operations
다음 표에는 Splunk 데이터 세트 Malware_Operations의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest_category | target.labels.key/value |
DNS
다음 표에는 Splunk 데이터 세트 DNS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| additional_answer_count | about.labels.key/value |
| answer | network.dns.answer.data |
| answer_count | about.labels.key/value |
| authority_answer_count | about.labels.key/value |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_port | target.port |
| dest_priority | target.labels.key/value |
| duration | network.session_duration |
| message_type | about.labels.key/value |
| name | about.labels.key/value |
| 쿼리 | network.dns.questions.name |
| query_count | about.labels.key/value |
| query_type | network.dns.questions.type |
| record_type | network.dns.answer.type(uint32) |
| reply_code | about.labels.key/value |
| reply_code_id | network.dns.response_code |
| response_time | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_port | principal.port |
| src_priority | principal.labels.key/value |
| 태그 | about.labels.key/value |
| transaction_id | network.dns.id |
| 전송 | network.ip_protocol |
| ttl | about.labels.key/value |
| vendor_product | about.labels.key/value |
All_Sessions
다음 표에는 Splunk 데이터 세트 All_Sessions의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_dns | target.labels.key/value |
| dest_ip | network.dhcp.ciaddr |
| dest_mac | network.dhcp.chaddr |
| dest_nt_host | target.labels.key/value |
| dest_priority | target.labels.key/value |
| duration | network.session_duration |
| response_time | about.labels.key/value |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_dns | principal.labels.key/value |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_nt_host | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| 태그 | about.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
DHCP
다음 표에는 Splunk 데이터 세트 DHCP의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| lease_duration | network.dhcp.lease_time_second |
| lease_scope | about.labels.key/value |
All_Traffic
다음 표에는 Splunk 데이터 세트 All_Traffic의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 앱 | network.application_protocol |
| 바이트 | about.labels.key/value |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| channel | about.labels.key/value |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_interface | target.labels.key/value |
| dest_ip | target.ip |
| dest_mac | target.mac |
| dest_port | target.port |
| dest_priority | target.labels.key/value |
| dest_translated_ip | target.nat_ip |
| dest_translated_port | target.nat_port |
| dest_zone | target.location.country_or_origin |
| direction | network.direction |
| duration | network.session_duration |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value |
| dvc_category | about.labels.key/value |
| dvc_ip | about.labels.key/value |
| dvc_mac | principal.asset.mac |
| dvc_priority | about.labels.key/value |
| dvc_zone | principal.asset.location.country_or_region |
| flow_id | about.labels.key/value |
| icmp_code | about.labels.key/value |
| icmp_type | about.labels.key/value |
| packets | about.labels.key/value |
| packets_in | about.labels.key/value |
| packets_out | about.labels.key/value |
| protocol | about.labels.key/value |
| protocol_version | about.labels.key/value |
| response_time | about.labels.key/value |
| 규칙 | security_result.rule_id |
| session_id | network.session_id |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_interface | principal.labels.key/value |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_port | principal.port |
| src_priority | principal.labels.key/value |
| src_translated_ip | principal.nat_ip |
| src_translated_port | principal.nat_port |
| src_zone | principal.location.country_or_origin |
| ssid | about.labels.key/value |
| 태그 | about.labels.key/value |
| tcp_flag | about.labels.key/value |
| 전송 | network.ip_protocol |
| tos | about.labels.key/value |
| ttl | network.dns.additional.ttl |
| 사용자 | principal.user.userid |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value |
| vendor_product | about.labels.key/value |
| vlan | about.labels.key/value |
| wifi | about.labels.key/value |
All_Performance
다음 표에는 Splunk 데이터 세트 All_Performance의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| hypervisor_id | about.labels.key/value |
| resource_type | about.labels.key/value |
| 태그 | about.labels.key/value |
Facilities
다음 표에는 Splunk 데이터 세트 Facilities의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| fan_speed | about.labels.key/value |
| power | about.labels.key/value |
| 온도 | about.labels.key/value |
Timesync
다음 표에는 Splunk 데이터 세트 Timesync의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
업타임
다음 표에는 Splunk 데이터 세트 Uptime의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| uptime | about.labels.key/value |
View_Activity
다음 표에는 Splunk 데이터 세트 View_Activity의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 앱 | target.application |
| spent | about.labels.key/value |
| uri | about.labels.key/value |
| user | principal.user.user_display_name |
| 뷰 | about.labels.key/value |
Datamodel_Acceleration
다음 표에는 Splunk 데이터 세트 Datamodel_Acceleration의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| access_count | about.labels.key/value |
| access_time | about.labels.key/value |
| 앱 | target.application |
| 버킷 | about.labels.key/value |
| buckets_size | about.labels.key/value |
| complete | about.labels.key/value |
| 크론 | about.labels.key/value |
| datamodel | about.labels.key/value |
| 다이제스트 | about.labels.key/value |
| earliest | about.labels.key/value |
| is_inprogress | about.labels.key/value |
| last_error | about.labels.key/value |
| last_sid | about.labels.key/value |
| latest | about.labels.key/value |
| mod_time | about.labels.key/value |
| 보관 | about.labels.key/value |
| 크기 | about.file.size |
| summary_id | about.labels.key/value |
Search_Activity
다음 표에는 Splunk 데이터 세트 Search_Activity의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 호스트 | about.hostname |
| 정보 | about.labels.key/value |
| 검색 | about.labels.key/value |
| search_et | about.labels.key/value |
| search_lt | about.labels.key/value |
| search_type | about.labels.key/value |
| source | principal.labels.key/value |
| sourcetype | principal.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Scheduler_Activity
다음 표에는 Splunk 데이터 세트 Scheduler_Activity의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 앱 | target.application |
| 호스트 | about.hostname |
| savedsearch_name | about.labels.key/value |
| sid | about.labels.key/value |
| source | principal.labels.key/value |
| sourcetype | principal.labels.key/value |
| splunk_server | principal.ip, principal.hostname |
| 상태 | security_result.summary |
| user | principal.user.user_display_name |
Web_Service_Errors
다음 표에는 Splunk 데이터 세트 Web_Service_Errors의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 호스트 | about.hostname |
| source | principal.labels.key/value |
| sourcetype | principal.labels.key/value |
| event_id | security_result.rule_name |
Modular_Actions
다음 표에는 Splunk 데이터 세트 Modular_Actions의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| action_mode | about.labels.key/value |
| action_status | about.labels.key/value |
| 앱 | target.application |
| duration | network.session_duration |
| 구성요소 | about.labels.key/value |
| orig_rid | about.labels.key/value |
| orig_sid | about.labels.key/value |
| rid | about.labels.key/value |
| search_name | about.labels.key/value |
| action_name | security_result.action_details |
| signature | metadata.description |
| sid | about.labels.key/value |
| user | about.labels.key/value |
All_Ticket_Management
다음 표에는 Splunk 데이터 세트 All_Ticket_Management의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| affect_dest | target.labels.key/value |
| 댓글 | about.labels.key/value |
| description | security_result.description |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| priority | security_result.priority_details |
| 심각도 | security_result.severity |
| severity_id | about.labels.key/value |
| splunk_id | about.labels.key/value |
| splunk_realm | about.labels.key/value |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value |
| src_user_category | principal.labels.key/value |
| src_user_priority | principal.labels.key/value |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value |
| ticket_id | target.user.attribute.label.ley/value |
| time_submitted | principal.user.attribute.creation_time |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
변경
다음 표에는 Splunk 데이터 세트 Change의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 변경 | about.labels.key/value |
이슈
다음 표에는 Splunk 데이터 세트 Incident의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 이슈 | about.labels.key/value |
문제
다음 표에는 Splunk 데이터 세트 Problem의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 문제 | about.labels.key/value |
업데이트
다음 표에는 Splunk 데이터 세트 Updates의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| dvc | principal.asset.hostname, principal.asset.ip |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value |
| 심각도 | security_result.severity |
| severity_id | about.labels.key/value |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value |
| vendor_product | about.labels.key/value |
취약점
다음 표에는 Splunk 데이터 세트 Vulnerabilities의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| bugtraq | about.labels.key/value |
| 카테고리 | security_result.category_details |
| cert | about.labels.key/value |
| cve | vulnerabilites.cve_description |
| cvss | vulnerabilites.cvss_base_score |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value |
| dvc_category | about.labels.key/value |
| dvc_priority | about.labels.key/value |
| msft | about.labels.key/value |
| mskb | about.labels.key/value |
| 심각도 | extensions.vulns.vulnerabilites.severity |
| severity_id | about.labels.key/value |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| 태그 | about.labels.key/value |
| url | extensions.vulns.vulnerabilites.about.url |
| user | extensions.vulns.vulnerabilites.about.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
| xref | about.labels.key/value |
웹
다음 표에는 Splunk 데이터 세트 웹의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 앱 | target.application |
| 바이트 | about.labels.key/value |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| cached | about.labels.key/value |
| 카테고리 | security_result.category_details |
| 쿠키 | about.labels.key/value |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_category | target.labels.key/value |
| dest_priority | target.labels.key/value |
| dest_port | target.port |
| duration | network.session_duration |
| http_content_type | about.labels.key/value |
| http_method | network.http.method |
| http_referrer | network.http.referral_url |
| http_referrer_domain | about.labels.key/value |
| http_user_agent | network.http.user_agent |
| http_user_agent_length | about.labels.key/value |
| response_time | about.labels.key/value |
| 사이트 | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| 상태 | network.http.response_code |
| 태그 | about.labels.key/value |
| uri_path | about.labels.key/value |
| uri_query | about.labels.key/value |
| url | about.url |
| url_domain | about.asset.network_domain |
| url_length | about.labels.key/value |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value |
UDM 이벤트 유형
다음 표에는 Splunk 태그와 해당 UDM 이벤트 유형이 나와 있습니다.
| 데이터 모델 | Splunk 태그 | UDM 이벤트 유형 |
|---|---|---|
| 알림 | 알림 | STATUS_UPDATE |
| 인증 | authentication | USER_UNCATEGORIZED |
| 인증서 | 인증서 | NETWORK_UNCATEGORIZED |
| 변경 | 변경 | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| 데이터 액세스 | 데이터, 액세스 | USER_RESOURCE_ACCESS |
| 데이터베이스 | 데이터베이스 | USER_RESOURCE_ACCESS |
| 데이터베이스 | 데이터베이스, 인스턴스, 통계 | STATUS_UPDATE |
| 데이터베이스 | 데이터베이스 인스턴스 상태 | STATUS_UPDATE |
| 데이터베이스 | 데이터베이스, 인스턴스, 잠금 | STATUS_UPDATE |
| 데이터베이스 | 데이터베이스, 쿼리 | STATUS_UPDATE |
| 데이터베이스 | 데이터베이스, 쿼리, 테이블스페이스 | STATUS_UPDATE |
| 데이터베이스 | 데이터베이스, 쿼리, 통계 | STATUS_UPDATE |
| 데이터 손실 방지 | dlp, 이슈 | SCAN_UNCATEGORIZED |
| 이메일 | 이메일 | EMAIL_UNCATEGORIZED |
| 이메일 | 이메일, 전송 | EMAIL_TRANSACTION |
| 엔드포인트 | 리슨, 포트 | SERVICE_UNSPECIFIED |
| 엔드포인트 | 프로세스, 신고 | PROCESS_UNCATEGORIZED |
| 엔드포인트 | 서비스, 신고 | SERVICE_UNSPECIFIED |
| 엔드포인트 | 엔드포인트, 파일 시스템 | FILE_UNCATEGORIZED |
| 엔드포인트 | 엔드포인트, 레지스트리 | REGISTRY_UNCATEGORIZED |
| 이벤트 서명 | track_event_signature | STATUS_UPDATE |
| 프로세스 간 메시지 | 메시징 | STATUS_UPDATE |
| 침입 감지 | ID, 공격 | SERVICE_UNSPECIFIED |
| 인벤토리 | 인벤토리 | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| 자바 가상 머신(JVM) | jvm | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| 멀웨어 | 멀웨어 | STATUS_UPDATE |
| 네트워크 확인(DNS) | 네트워크, 해상도, dns | NETWORK_DNS |
| 네트워크 세션 | 네트워크, 세션 | NETWORK_CONNECTION |
| 네트워크 세션 | 네트워크, 세션, dhcp | NETWORK_DHCP |
| 네트워크 트래픽 | 네트워크, 통신 | NETWORK_CONNECTION |
| 성능 | 성능 | SERVICE_UNSPECIFIED |
| Splunk 감사 로그 | modaction | STATUS_UPDATE |
| 티켓 관리 | 티켓 판매 | STATUS_UPDATE |
| 티켓 관리 | 티켓 판매, 변경 | STATUS_UPDATE |
| 업데이트 | update | STATUS_UPDATE |
| 취약점 | 신고, 취약점 | SCAN_UNCATEGORIZED |
| 웹 | web | NETWORK_UNCATEGORIZED |