Splunk CIM 로그 수집
이 문서에서는 Splunk 및 Google Security Operations 전달자를 구성하여 Splunk Common Information Model(CIM) 로그를 수집하는 방법을 설명합니다. 이 문서에는 지원되는 로그 유형과 지원되는 Splunk 버전도 나와 있습니다.
자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.
개요
다음 배포 아키텍처 다이어그램에서는 로그가 Google Security Operations에 전송되도록 Splunk 에이전트를 구성하는 방법을 보여줍니다. 각 고객 배포는 이 표현과 다를 수 있고 더 복잡할 수 있습니다.
이 아키텍처 다이어그램은 다음 구성요소를 보여줍니다.
데이터 소스: Splunk가 설치된 모니터링할 시스템입니다.
Splunk: 데이터 소스에서 정보를 수집하여 정보를 Google Security Operations 전달자에게 전달합니다.
Google Security Operations 전달자: 로그가 Google Security Operations로 전달되도록 고객 네트워크에 배포된 경량형 소프트웨어 구성요소입니다.
Google Security Operations: Fleet 서버의 로그를 보관하고 분석합니다.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 SPLUNK 수집 라벨이 있는 파서에 적용됩니다.
시작하기 전에
Google Security Operations 파서에서 지원하는 Splunk 버전 5.0을 사용합니다.
배포 아키텍처의 모든 시스템이 UTC 시간대로 구성되었는지 확인합니다.
Splunk 에이전트 및 Google Security Operations 전달자 구성
Splunkbase에서 CIM 호환 에이전트를 설치합니다.
Google Security Operations 전달자를 구성하여 로그를 Google Security Operations 시스템에 내보냅니다. 다음은 Google Security Operations 전달자 구성의 예시입니다.
- splunk: common: enabled: true data_type: SPLUNK batch_n_seconds: 10 batch_n_bytes: 819200 url: <SPLUNK_URL> query_cim: true is_ignore_cert: true query_string: datamodel Network_Traffic All_Traffic flat
Splunk 검색어 작성 시 고려사항
Splunk에는 SQL과 비슷한 자체 검색 언어가 있습니다. 검색어에 올바른 구문을 사용해야 합니다. 쿼리를 만들 때 다음 검색 특성을 고려하세요.
이스케이프 문자
문자열 값에 큰따옴표(")가 포함된 경우 다음과 같이 백슬래시 문자를 사용하여 따옴표를 이스케이프 처리합니다. 그렇지 않으면 검색에서 문자열 값의 끝을 잘못 해석합니다.
예시: 문자열 WHERE _raw="The user "vpatel" isn't authenticated."를 검색하려면 시퀀스 \" 를 사용하여 리터럴 큰따옴표를 검색합니다.
다음 형식으로 검색 문자열을 작성합니다.
WHERE _raw="The user \"vpatel\" isn't authenticated."
백슬래시 문자 \ 를 이스케이프 처리하려면 \\ 시퀀스를 사용하여 백슬래시를 검색합니다.
예를 들어 C:\user\abc와 같은 문자열이 있으면 C:\\user\\abc로 작성해야 합니다.
구문적으로 잘못된 검색
쿼리의 섹션이 유효하지 않으면 전체 쿼리가 평가되지 않고 오류 메시지가 표시됩니다.
쿼리에 검색 모드 옵션이 누락된 다음 예를 살펴보세요.
multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]
이 예에서는 쿼리에 검색 모드 옵션이 누락되었습니다. 이 경우 다음 오류가 발생합니다.
Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.
여러 데이터 모델 지원
Splunk는 데이터 모델에 걸친 단일 대규모 쿼리를 지원합니다. 다음 검색어는 여러 데이터 모델에서 데이터를 추출합니다.
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
데이터 모델에 걸친 이 쿼리의 구성요소는 다음과 같습니다.
Multisearch: 쿼리는 단어 multisearch로 시작해야 합니다. 데이터 모델의 쿼리는 대괄호 [ ]로 묶이고 파이프 | 문자로 시작해야 합니다.
Network_Traffic: 데이터 모델의 이름입니다.
All_Traffic: Network_Traffic 데이터 모델의 데이터 세트입니다.
flat: 검색 모드. 다른 옵션은 search 및 acceleration_search입니다.
여러 데이터 모델 검색에는 다음 Splunk 쿼리를 사용하는 것이 좋습니다.
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
지원되는 로그 유형 및 데이터 모델
| Splunk 데이터 모델 | 지원됨 |
|---|---|
| 알림 | 예 |
| 애플리케이션 상태(지원 중단됨) | 아니요 |
| 인증 | 예 |
| 인증서 | 예 |
| 변경 | 예 |
| 변경 분석(지원 중단됨) | 아니요 |
| 데이터 액세스 | 예 |
| 데이터베이스 | 예 |
| 데이터 손실 방지 | 예 |
| 이메일 | 예 |
| 엔드포인트 | 예 |
| 이벤트 서명 | 예 |
| 프로세스 간 메시지 | 예 |
| 침입 감지 | 예 |
| 인벤토리 | 예 |
| 자바 가상 머신(JVM) | 예 |
| 멀웨어 | 예 |
| 네트워크 확인(DNS) | 예 |
| 네트워크 세션 | 예 |
| 네트워크 트래픽 | 예 |
| 성능 | 예 |
| Splunk 감사 로그 | 예 |
| 티켓 관리 | 예 |
| 업데이트 | 예 |
| 취약점 | 예 |
| 웹 | 예 |
필드 매핑 참조
이 섹션에서는 Google Security Operations 파서가 Splunk 로그 필드를 데이터 세트의 Google Security Operations 통합 데이터 모델(UDM) 필드에 매핑하는 방식을 설명합니다. 자세한 내용은 버전 5.0.1용 Splunk 문서를 참조하세요.
알림
다음 표에는 Splunk 데이터 세트 Alerts의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 앱 | observer.application |
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| dest_type | target.resource.resource_type |
| id | metadata.product_log_id |
| mitre_technique_id | security_result.detection_fields.labels.key/value |
| 심각도 | security_result.severity |
| severity_id | about.labels.key/value(지원 중단됨) additional.fields |
| signature | metadata.description |
| signature_id | security_result.rule_name |
| src | principal.ip principal.hostname principal.labels.key/value(지원 중단됨) |
| src_bunit | principal.labels.key/value(지원 중단됨) additional.fields |
| src_category | principal.labels.key/value(지원 중단됨) additional.fields |
| src_priority | principal.labels.key/value(지원 중단됨) additional.fields |
| src_type | principal.resource.resource_type |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
| 유형 | security_result.alert_state |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_name | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value(지원 중단됨) additional.fields |
| vendor_region | about.location.country_or_region |
인증
다음 표에는 Splunk 데이터 세트 인증의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 앱 | target.application |
| authentication_method | about.labels.key/value(지원 중단됨) additional.fields |
| authentication_service | extension.auth.auth_details |
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_nt_domain | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| duration | network.session_duration |
| reason | security_result.summary |
| response_time | about.labels.key/value(지원 중단됨) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value(지원 중단됨) |
| src_bunit | principal.labels.key/value(지원 중단됨) additional.fields |
| src_category | principal.labels.key/value(지원 중단됨) additional.fields |
| src_nt_domain | principal.labels.key/value(지원 중단됨) additional.fields |
| src_priority | principal.labels.key/value(지원 중단됨) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value(지원 중단됨) additional.fields |
| src_user_category | principal.labels.key/value(지원 중단됨) additional.fields |
| src_user_id | principal.user.userid |
| src_user_priority | principal.labels.key/value(지원 중단됨) additional.fields |
| src_user_role | principal.user.attribute.roles.name(repeated) |
| src_user_type | principal.user.attribute.roles.type |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
| 사용자 | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| user_role | principal.user.attribute.roles.name(repeated) |
| user_type | principal.user.attribute.roles.type |
| vendor_account | about.labels.key/value(지원 중단됨) additional.fields |
All_Certificates
다음 표에는 Splunk 데이터 세트 All_Certificates의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| duration | network.session_duration |
| response_time | about.labels.key/value(지원 중단됨) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value(지원 중단됨) |
| src_bunit | principal.labels.key/value(지원 중단됨) additional.fields |
| src_category | principal.labels.key/value(지원 중단됨) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value(지원 중단됨) additional.fields |
| tag | about.labels.key/value(지원 중단됨) additional.fields |
| 전송 | network.ip_protocol |
SSL
다음 표에는 Splunk 데이터 세트 SSL의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| ssl_end_time | network.tls.server.certificate.not_after |
| ssl_engine | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_hash | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_is_valid | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_issuer | network.tls.server.certificate.issuer |
| ssl_issuer_common_name | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_issuer_email | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_issuer_email_domain | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_issuer_locality | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_issuer_organization | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_issuer_state | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_issuer_street | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_issuer_unit | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_name | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_policies | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_publickey | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_publickey_algorithm | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_serial | network.tls.server.certificate.serial |
| ssl_session_id | network.session_id |
| ssl_signature_algorithm | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_start_time | network.tls.server.certificate.not_before |
| ssl_subject | network.tls.server.certificate.subject |
| ssl_subject_common_name | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_subject_email | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_subject_email_domain | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_subject_locality | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_subject_organization | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_subject_state | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_subject_street | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_subject_unit | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_validity_window | about.labels.key/value(지원 중단됨) additional.fields |
| ssl_version | network.tls.server.certificate.version |
All_Changes
다음 표에는 Splunk 데이터 세트 All_Changes의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| change_type | security_result.category_details |
| 명령어 | principal.process.command_line |
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| 객체 | target.resource.name |
| object_attrs | about.labels.key/value(지원 중단됨) additional.fields |
| object_category | about.labels.key/value(지원 중단됨) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| result | metadata.description |
| result_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value(지원 중단됨) |
| src_bunit | principal.labels.key/value(지원 중단됨) additional.fields |
| src_category | principal.labels.key/value(지원 중단됨) additional.fields |
| src_priority | principal.labels.key/value(지원 중단됨) additional.fields |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
| user | target.user.userid |
| user_agent | network.http.user_agent |
| user_name | principal.user.user_display_name, target.labels.key/value |
| user_type | principal.user.attribute.roles.type, target.user.attribute.roles.type |
| vendor_account | about.labels.key/value(지원 중단됨) additional.fields |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
| vendor_region | about.location.country_or_region |
Account_Management
다음 표에는 Splunk 데이터 세트 Account_Management의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest_nt_domain | target.administrative_domain |
| src_nt_domain | principal.administrative_domain |
| src_user | principal.user.userid |
| src_user_bunit | principal.labels.key/value(지원 중단됨) additional.fields |
| src_user_category | principal.labels.key/value(지원 중단됨) additional.fields |
| src_user_priority | principal.labels.key/value(지원 중단됨) additional.fields |
| src_user_name | principal.labels.key/value(지원 중단됨) additional.fields |
| src_user_type | principal.user.attribute.roles.type |
Instance_Changes
다음 표에는 Splunk 데이터 세트 Instance_Changes의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| image_id | principal.asset_id |
| instance_type | about.labels.key/value(지원 중단됨) additional.fields |
network_Changes
다음 표에는 Splunk 데이터 세트 network_Changes의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest_ip_range | target.labels.key/value(지원 중단됨) additional.fields |
| dest_port_range | target.labels.key/value(지원 중단됨) additional.fields |
| direction | network.direction |
| protocol | network.ip_protocol |
| rule_action | security_result.action_details security_result.action |
| src_ip_range | principal.labels.key/value(지원 중단됨) additional.fields |
| src_port_range | principal.labels.key/value(지원 중단됨) additional.fields |
Data_Access
다음 표에는 Splunk 데이터 세트 Data_Access의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 앱 | target.application |
| app_id | metadata.product_log_id |
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_name | target.administrative_domain |
| dest_url | target.url |
| dvc | principal.asset.hostname, principal.asset.ip |
| 이메일 | principal.user.email_addresses |
| 객체 | target.resource.name |
| object_category | about.labels.key/value(지원 중단됨) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| object_size | target.file.size |
| 소유자 | about.labels.key/value(지원 중단됨) additional.fields |
| owner_email | about.labels.key/value(지원 중단됨) additional.fields |
| owner_id | principal.user.userid |
| parent_object | target.resource.parent |
| parent_object_id | about.labels.key/value(지원 중단됨) additional.fields |
| parent_object_category | about.labels.key/value(지원 중단됨) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value(지원 중단됨) |
| tenant_id | about.labels.key/value(지원 중단됨) additional.fields |
| 사용자 | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_group | principal.user.group_identifiers(repeated) |
| user_role | principal.user.attribute.roles.name(repeated) |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
| vendor_product_id | about.labels.key/value(지원 중단됨) additional.fields |
All_Databases
다음 표에는 Splunk 데이터 세트 All_Databases의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| duration | network.session_duration |
| 객체 | target.resource.name |
| response_time | about.labels.key/value(지원 중단됨) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value(지원 중단됨) |
| src_bunit | principal.labels.key/value(지원 중단됨) additional.fields |
| src_category | principal.labels.key/value(지원 중단됨) additional.fields |
| src_priority | principal.labels.key/value(지원 중단됨) additional.fields |
| tag | about.labels.key/value(지원 중단됨) additional.fields |
| 사용자 | principal.user.user_display_name |
| user_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
Database_Instance
다음 표에는 Splunk 데이터 세트 Database_Instance의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| instance_name | target.resource.attributes.key/value |
| instance_version | target.resource.attributes.key/value |
| process_limit | about.labels.key/value(지원 중단됨) additional.fields |
| session_limit | about.labels.key/value(지원 중단됨) additional.fields |
Database_Query
다음 표에는 Splunk 데이터 세트 Database_Query의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 쿼리 | about.labels.key/value(지원 중단됨) additional.fields |
| query_id | about.labels.key/value(지원 중단됨) additional.fields |
| query_time | about.labels.key/value(지원 중단됨) additional.fields |
| records_affected | about.labels.key/value(지원 중단됨) additional.fields |
Instance_Stats
다음 표에는 Splunk 데이터 세트 Instance_Stats의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| availability | about.labels.key/value(지원 중단됨) additional.fields |
| avg_executions | about.labels.key/value(지원 중단됨) additional.fields |
| dump_area_used | about.labels.key/value(지원 중단됨) additional.fields |
| instance_reads | about.labels.key/value(지원 중단됨) additional.fields |
| instance_writes | about.labels.key/value(지원 중단됨) additional.fields |
| number_of_users | about.labels.key/value(지원 중단됨) additional.fields |
| processes | about.labels.key/value(지원 중단됨) additional.fields |
| 세션 | about.labels.key/value(지원 중단됨) additional.fields |
| sga_buffer_cache_size | about.labels.key/value(지원 중단됨) additional.fields |
| sga_buffer_hit_limit | about.labels.key/value(지원 중단됨) additional.fields |
| sga_data_dict_hit_ratio | about.labels.key/value(지원 중단됨) additional.fields |
| sga_fixed_area_size | about.labels.key/value(지원 중단됨) additional.fields |
| sga_free_memory | about.labels.key/value(지원 중단됨) additional.fields |
| sga_library_cache_size | about.labels.key/value(지원 중단됨) additional.fields |
| sga_redo_log_buffer_size | about.labels.key/value(지원 중단됨) additional.fields |
| sga_shared_pool_size | about.labels.key/value(지원 중단됨) additional.fields |
| sga_sql_area_size | about.labels.key/value(지원 중단됨) additional.fields |
| start_time | about.labels.key/value(지원 중단됨) additional.fields |
| tablespace_used | about.labels.key/value(지원 중단됨) additional.fields |
Session_Info
다음 표에는 Splunk 데이터 세트 Session_Info의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| buffer_cache_hit_ratio | about.labels.key/value(지원 중단됨) additional.fields |
| 커밋 | about.labels.key/value(지원 중단됨) additional.fields |
| cpu_used | about.labels.key/value(지원 중단됨) additional.fields |
| cursor | about.labels.key/value(지원 중단됨) additional.fields |
| elapsed_time | about.labels.key/value(지원 중단됨) additional.fields |
| logical_reads | about.labels.key/value(지원 중단됨) additional.fields |
| machine | about.hostname |
| memory_sorts | about.labels.key/value(지원 중단됨) additional.fields |
| physical_reads | about.labels.key/value(지원 중단됨) additional.fields |
| seconds_in_wait | about.labels.key/value(지원 중단됨) additional.fields |
| session_id | network.session_id |
| session_status | about.labels.key/value(지원 중단됨) additional.fields |
| table_scans | about.labels.key/value(지원 중단됨) additional.fields |
| wait_state | about.labels.key/value(지원 중단됨) additional.fields |
| wait_time | about.labels.key/value(지원 중단됨) additional.fields |
Lock_Info
다음 표에는 Splunk 데이터 세트 Lock_Info의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| last_call_minute | about.labels.key/value(지원 중단됨) additional.fields |
| lock_mode | about.labels.key/value(지원 중단됨) additional.fields |
| lock_session_id | about.labels.key/value(지원 중단됨) additional.fields |
| logon_time | about.labels.key/value(지원 중단됨) additional.fields |
| obj_name | about.labels.key/value(지원 중단됨) additional.fields |
| os_pid | target.process.pid |
| serial_num | target.resource.product_object_id |
Tablespace
다음 표에는 Splunk 데이터 세트 Tablespace의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| free_bytes | about.file.size |
| tablespace_name | about.resource.name |
| tablespace_reads | about.labels.key/value(지원 중단됨) additional.fields |
| tablespace_status | about.labels.key/value(지원 중단됨) additional.fields |
| tablespace_writes | about.labels.key/value(지원 중단됨) additional.fields |
Query_Stats
다음 표에는 Splunk 데이터 세트 Query_Stats의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| indexes_hit | about.labels.key/value(지원 중단됨) additional.fields |
| query_plan_hit | about.labels.key/value(지원 중단됨) additional.fields |
| stored_procedures_called | about.labels.key/value(지원 중단됨) additional.fields |
| tables_hit | about.labels.key/value(지원 중단됨) additional.fields |
DLP_Incidents
다음 표에는 Splunk 데이터 세트 DLP_Incidents의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 앱 | target.application |
| 카테고리 | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| dest_zone | target.location.country_or_origin |
| dlp_type | about.labels.key/value(지원 중단됨) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| dvc_category | about.labels.key/value(지원 중단됨) additional.fields |
| dvc_priority | about.labels.key/value(지원 중단됨) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| 객체 | target.resource.name |
| object_category | about.labels.key/value(지원 중단됨) additional.fields |
| object_path | target.file.full_path |
| 심각도 | security_result.severity |
| severity_id | about.labels.key/value(지원 중단됨) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value(지원 중단됨) |
| src_bunit | principal.labels.key/value(지원 중단됨) additional.fields |
| src_category | principal.labels.key/value(지원 중단됨) additional.fields |
| src_priority | principal.labels.key/value(지원 중단됨) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value(지원 중단됨) additional.fields |
| src_user_category | principal.labels.key/value(지원 중단됨) additional.fields |
| src_user_priority | principal.labels.key/value(지원 중단됨) additional.fields |
| src_zone | principal.location.country_or_origin |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
| 사용자 | principal.user.user_display_name |
| user_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
All_Email
다음 표에는 Splunk 데이터 세트 All_Email의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| delay | about.labels.key/value(지원 중단됨) additional.fields |
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| duration | network.session_duration |
| file_hash | about.file.sha256, about.file.md5, about.file.sha1 |
| file_name | about.labels.key/value(지원 중단됨) additional.fields |
| file_size | about.file.size |
| internal_message_id | metadata.product_log_id |
| message_id | network.email.mail_id |
| message_info | about.labels.key/value(지원 중단됨) additional.fields |
| orig_dest | target.labels.key/value(지원 중단됨) additional.fields |
| orig_recipient | about.labels.key/value(지원 중단됨) additional.fields |
| orig_src | network.email.from |
| process | principal.process.command_line |
| process_id | principal.process.pid |
| 프로토콜 | network.application_protocol |
| recipient | network.email.to |
| recipient_count | about.labels.key/value(지원 중단됨) additional.fields |
| recipient_domain | about.labels.key/value(지원 중단됨) additional.fields |
| recipient_status | about.labels.key/value(지원 중단됨) additional.fields |
| response_time | about.labels.key/value(지원 중단됨) additional.fields |
| retries | about.labels.key/value(지원 중단됨) additional.fields |
| return_addr | about.labels.key/value(지원 중단됨) additional.fields |
| size | about.labels.key/value(지원 중단됨) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value(지원 중단됨) |
| src_bunit | principal.labels.key/value(지원 중단됨) additional.fields |
| src_category | principal.labels.key/value(지원 중단됨) additional.fields |
| src_priority | principal.labels.key/value(지원 중단됨) additional.fields |
| src_user | principal.user.email_addresses |
| src_user_bunit | principal.labels.key/value(지원 중단됨) additional.fields |
| src_user_category | principal.labels.key/value(지원 중단됨) additional.fields |
| src_user_domain | principal.administrative_domain |
| src_user_priority | principal.labels.key/value(지원 중단됨) additional.fields |
| status_code | about.labels.key/value(지원 중단됨) additional.fields |
| subject | network.email.subject(repeated) |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
| url | about.url |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
| xdelay | about.labels.key/value(지원 중단됨) additional.fields |
| xref | about.labels.key/value(지원 중단됨) additional.fields |
필터링
다음 표에는 Splunk 데이터 세트 Filtering의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| filter_action | about.labels.key/value(지원 중단됨) additional.fields |
| filter_score | about.labels.key/value(지원 중단됨) additional.fields |
| signature | metadata.description |
| signature_extra | about.labels.key/value(지원 중단됨) additional.fields |
| signature_id | metadata.product_event_type |
포트
다음 표에는 Splunk 데이터 세트 Ports의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| creation_time | about.labels.key/value(지원 중단됨) additional.fields |
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| dest_requires_av | target.labels.key/value(지원 중단됨) additional.fields |
| dest_should_timesync | target.labels.key/value(지원 중단됨) additional.fields |
| dest_should_update | target.labels.key/value(지원 중단됨) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| src | principal.ip principal.hostname principal.labels.key/value(지원 중단됨) |
| src_category | principal.labels.key/value(지원 중단됨) additional.fields |
| src_priority | principal.labels.key/value(지원 중단됨) additional.fields |
| src_port | principal.port |
| src_requires_av | principal.labels.key/value(지원 중단됨) additional.fields |
| src_should_timesync | principal.labels.key/value(지원 중단됨) additional.fields |
| src_should_update | principal.labels.key/value(지원 중단됨) additional.fields |
| state | about.labels.key/value(지원 중단됨) additional.fields |
| tag | about.labels.key/value(지원 중단됨) additional.fields |
| 전송 | network.ip_protocol |
| transport_dest_port | target.labels.key/value(지원 중단됨) additional.fields |
| 사용자 | principal.user.user_display_name |
| user_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
프로세스
다음 표에는 Splunk 데이터 세트 Processes의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| cpu_load_percent | about.labels.key/value(지원 중단됨) additional.fields |
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_is_expected | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| dest_requires_av | target.labels.key/value(지원 중단됨) additional.fields |
| dest_should_timesync | target.labels.key/value(지원 중단됨) additional.fields |
| dest_should_update | target.labels.key/value(지원 중단됨) additional.fields |
| mem_used | about.labels.key/value(지원 중단됨) additional.fields |
| original_file_name | src.file.full_path |
| os | principal.asset.platform_software.platform_version |
| parent_process | about.labels.key/value(지원 중단됨) additional.fields |
| parent_process_exec | about.labels.key/value(지원 중단됨) additional.fields |
| parent_process_id | principal.process.parent_process.parent_pid |
| parent_process_guid | principal.process.parent_process.product_specific_process_id |
| parent_process_name | about.labels.key/value(지원 중단됨) additional.fields |
| parent_process_path | principal.process.parent_process.command_line |
| 역확산 프로세스를 | about.labels.key/value(지원 중단됨) additional.fields |
| process_current_directory | about.labels.key/value(지원 중단됨) additional.fields |
| process_exec | about.labels.key/value(지원 중단됨) additional.fields |
| process_hash | principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1 |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| process_integrity_level | security_result.severity |
| process_name | principal.process.command_line |
| process_path | principal.process.file.full_path |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
| 사용자 | principal.user.user_display_name |
| user_id | principal.user.userid |
| user_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
서비스
다음 표에는 Splunk 데이터 세트 Services의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_is_expected | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| dest_requires_av | target.labels.key/value(지원 중단됨) additional.fields |
| dest_should_timesync | target.labels.key/value(지원 중단됨) additional.fields |
| dest_should_update | target.labels.key/value(지원 중단됨) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| 서비스 | target.application |
| service_dll | about.labels.key/value(지원 중단됨) additional.fields |
| service_dll_path | about.file.full_path |
| service_dll_hash | about.labels.key/value(지원 중단됨) additional.fields |
| service_dll_signature_exists | about.labels.key/value(지원 중단됨) additional.fields |
| service_dll_signature_verified | about.labels.key/value(지원 중단됨) additional.fields |
| service_exec | target.process.file.full_path |
| service_hash | about.labels.key/value(지원 중단됨) additional.fields |
| service_id | about.labels.key/value(지원 중단됨) additional.fields |
| service_name | about.labels.key/value(지원 중단됨) additional.fields |
| service_path | about.labels.key/value(지원 중단됨) additional.fields |
| service_signature_exists | about.labels.key/value(지원 중단됨) additional.fields |
| service_signature_verified | about.labels.key/value(지원 중단됨) additional.fields |
| start_mode | about.labels.key/value(지원 중단됨) additional.fields |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
| 사용자 | principal.user.user_display_name |
| user_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
파일 시스템
다음 표에는 Splunk 데이터 세트 Filesystem의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| dest_requires_av | target.labels.key/value(지원 중단됨) additional.fields |
| dest_should_timesync | target.labels.key/value(지원 중단됨) additional.fields |
| dest_should_update | target.labels.key/value(지원 중단됨) additional.fields |
| file_access_time | about.labels.key/value(지원 중단됨) additional.fields |
| file_create_time | target.asset.attribute.creation_time |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_modify_time | about.labels.key/value(지원 중단됨) additional.fields |
| file_name | about.labels.key/value(지원 중단됨) additional.fields |
| file_path | target.file.full_path |
| file_acl | about.labels.key/value(지원 중단됨) additional.fields |
| file_size | target.file.size |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
| 사용자 | principal.user.user_display_name |
| user_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
레지스트리
다음 표에는 Splunk 데이터 세트 Registry의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| dest_requires_av | target.labels.key/value(지원 중단됨) additional.fields |
| dest_should_timesync | target.labels.key/value(지원 중단됨) additional.fields |
| dest_should_update | target.labels.key/value(지원 중단됨) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| registry_hive | about.labels.key/value(지원 중단됨) additional.fields |
| registry_path | about.labels.key/value(지원 중단됨) additional.fields |
| registry_key_name | target.registry.registry_key |
| registry_value_data | target.registry.registry_value_data |
| registry_value_name | target.registry.registry_value_name |
| registry_value_text | about.labels.key/value(지원 중단됨) additional.fields |
| registry_value_type | about.labels.key/value(지원 중단됨) additional.fields |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
| 사용자 | principal.user.user_display_name |
| user_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
서명
다음 표에는 Splunk 데이터 세트 Signatures의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
Signatures_vendor_product
다음 표에는 Splunk 데이터 세트 Signatures_vendor_product의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
All_Interprocess_Messaging
다음 표에는 Splunk 데이터 세트 All_Interprocess_Messaging의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| duration | network.session_duration |
| 엔드포인트 | about.labels.key/value(지원 중단됨) additional.fields |
| endpoint_version | about.labels.key/value(지원 중단됨) additional.fields |
| message | about.labels.key/value(지원 중단됨) additional.fields |
| message_consumed_time | about.labels.key/value(지원 중단됨) additional.fields |
| message_correlation_id | about.labels.key/value(지원 중단됨) additional.fields |
| message_delivered_time | about.labels.key/value(지원 중단됨) additional.fields |
| message_delivery_mode | about.labels.key/value(지원 중단됨) additional.fields |
| message_expiration_time | about.labels.key/value(지원 중단됨) additional.fields |
| message_id | metadata.product.log_id |
| message_priority | about.labels.key/value(지원 중단됨) additional.fields |
| message_properties | about.labels.key/value(지원 중단됨) additional.fields |
| message_received_time | about.labels.key/value(지원 중단됨) additional.fields |
| message_redelivered | about.labels.key/value(지원 중단됨) additional.fields |
| message_reply_dest | target.labels.key/value(지원 중단됨) additional.fields |
| message_type | about.labels.key/value(지원 중단됨) additional.fields |
| 매개변수 | about.labels.key/value(지원 중단됨) additional.fields |
| payload | about.labels.key/value(지원 중단됨) additional.fields |
| payload_type | about.labels.key/value(지원 중단됨) additional.fields |
| request_payload | about.labels.key/value(지원 중단됨) additional.fields |
| request_payload_type | about.labels.key/value(지원 중단됨) additional.fields |
| request_sent_time | about.labels.key/value(지원 중단됨) additional.fields |
| response_code | network.http.response_code |
| response_payload_type | about.labels.key/value(지원 중단됨) additional.fields |
| response_received_time | about.labels.key/value(지원 중단됨) additional.fields |
| response_time | about.labels.key/value(지원 중단됨) additional.fields |
| return_message | about.labels.key/value(지원 중단됨) additional.fields |
| rpc_protocol | network.application_protocol |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
IDS_Attacks
다음 표에는 Splunk 데이터 세트 IDS_Attacks의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 카테고리 | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| dvc_category | about.labels.key/value(지원 중단됨) additional.fields |
| dvc_priority | about.labels.key/value(지원 중단됨) additional.fields |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value(지원 중단됨) additional.fields |
| file_path | target.file.full_path |
| ids_type | about.labels.key/value(지원 중단됨) additional.fields |
| 줄이는 것을 | security_result.severity |
| severity_id | about.labels.key/value(지원 중단됨) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value(지원 중단됨) |
| src_bunit | principal.labels.key/value(지원 중단됨) additional.fields |
| src_category | principal.labels.key/value(지원 중단됨) additional.fields |
| src_priority | principal.labels.key/value(지원 중단됨) additional.fields |
| src_port | principal.port |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
| 전송 | network.ip_protocol |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
DS_Attacks
다음 표에는 Splunk 데이터 세트 DS_Attacks의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest_port | target.port |
All_Inventory
다음 표에는 Splunk 데이터 세트 All_Inventory의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| enabled | about.labels.key/value(지원 중단됨) additional.fields |
| family | about.labels.key/value(지원 중단됨) additional.fields |
| hypervisor_id | about.labels.key/value(지원 중단됨) additional.fields |
| serial | principal.asset.hardware.serial_number |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
| version | about.labels.key/value(지원 중단됨) additional.fields |
CPU
다음 표에는 Splunk 데이터 세트 CPU의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| cpu_cores | principal.asset.hardware.cpu_number_cores |
| cpu_count | about.labels.key/value(지원 중단됨) additional.fields |
| cpu_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_percent | about.labels.key/value(지원 중단됨) additional.fields |
| cpu_time | about.labels.key/value(지원 중단됨) additional.fields |
| cpu_user_percent | about.labels.key/value(지원 중단됨) additional.fields |
메모리
다음 표에는 Splunk 데이터 세트 Memory의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 메모리 | principal.asset.hardware.ram |
| heap_committed | about.labels.key/value(지원 중단됨) additional.fields |
| heap_initial | about.labels.key/value(지원 중단됨) additional.fields |
| heap_max | about.labels.key/value(지원 중단됨) additional.fields |
| heap_used | about.labels.key/value(지원 중단됨) additional.fields |
| non_heap_committed | about.labels.key/value(지원 중단됨) additional.fields |
| non_heap_initial | about.labels.key/value(지원 중단됨) additional.fields |
| non_heap_max | about.labels.key/value(지원 중단됨) additional.fields |
| non_heap_used | about.labels.key/value(지원 중단됨) additional.fields |
| objects_pending | about.labels.key/value(지원 중단됨) additional.fields |
| 메모리 | principal.asset.hardware.ram |
| mem_committed | about.labels.key/value(지원 중단됨) additional.fields |
| mem_free | about.labels.key/value(지원 중단됨) additional.fields |
| mem_used | about.labels.key/value(지원 중단됨) additional.fields |
| 스왑 | about.labels.key/value(지원 중단됨) additional.fields |
| swap_free | about.labels.key/value(지원 중단됨) additional.fields |
| swap_used | about.labels.key/value(지원 중단됨) additional.fields |
테스트가 있습니다
다음 표에는 Splunk 데이터 세트 네트워크의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest_ip | target.ip |
| dns | about.labels.key/value(지원 중단됨) additional.fields |
| inline_nat | about.labels.key/value(지원 중단됨) additional.fields |
| interface | about.labels.key/value(지원 중단됨) additional.fields |
| ip | principal.asset.ip |
| lb_method | about.labels.key/value(지원 중단됨) additional.fields |
| mac | principal.asset.mac |
| name | principal.resource.name |
| 노드 | about.labels.key/value(지원 중단됨) additional.fields |
| node_port | target.port |
| src_ip | principal.ip |
| vip_port | about.labels.key/value(지원 중단됨) additional.fields |
| thruput | about.labels.key/value(지원 중단됨) additional.fields |
| thruput_max | about.labels.key/value(지원 중단됨) additional.fields |
OS
다음 표에는 Splunk 데이터 세트 OS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| os | principal.asset.platform_software.platform_version |
| committed_memory | about.labels.key/value(지원 중단됨) additional.fields |
| cpu_time | about.labels.key/value(지원 중단됨) additional.fields |
| free_physical_memory | about.labels.key/value(지원 중단됨) additional.fields |
| free_swap | about.labels.key/value(지원 중단됨) additional.fields |
| max_file_descriptors | about.labels.key/value(지원 중단됨) additional.fields |
| open_file_descriptors | about.labels.key/value(지원 중단됨) additional.fields |
| os | principal.asset.platform_software.platform_version |
| os_architecture | about.labels.key/value(지원 중단됨) additional.fields |
| os_version | about.labels.key/value(지원 중단됨) additional.fields |
| physical_memory | about.labels.key/value(지원 중단됨) additional.fields |
| swap_space | about.labels.key/value(지원 중단됨) additional.fields |
| system_load | about.labels.key/value(지원 중단됨) additional.fields |
| total_processors | about.labels.key/value(지원 중단됨) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
스토리지
다음 표에는 Splunk 데이터 세트 스토리지의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 배열 | about.labels.key/value(지원 중단됨) additional.fields |
| blocksize | about.labels.key/value(지원 중단됨) additional.fields |
| 클러스터 | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value(지원 중단됨) additional.fields |
| 지연 시간 | about.labels.key/value(지원 중단됨) additional.fields |
| mount | principal.resource.attribute.labels.key/value |
| parent | principal.resource.parent |
| read_blocks | about.labels.key/value(지원 중단됨) additional.fields |
| read_latency | about.labels.key/value(지원 중단됨) additional.fields |
| read_ops | about.labels.key/value(지원 중단됨) additional.fields |
| storage | about.labels.key/value(지원 중단됨) additional.fields |
| write_blocks | about.labels.key/value(지원 중단됨) additional.fields |
| write_latency | about.labels.key/value(지원 중단됨) additional.fields |
| write_ops | about.labels.key/value(지원 중단됨) additional.fields |
| 배열 | about.labels.key/value(지원 중단됨) additional.fields |
| blocksize | about.labels.key/value(지원 중단됨) additional.fields |
| 클러스터 | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value(지원 중단됨) additional.fields |
| fd_used | about.labels.key/value(지원 중단됨) additional.fields |
| 지연 시간 | about.labels.key/value(지원 중단됨) additional.fields |
| mount | about.labels.key/value(지원 중단됨) additional.fields |
| parent | principal.resource.parent |
| read_blocks | about.labels.key/value(지원 중단됨) additional.fields |
| read_latency | about.labels.key/value(지원 중단됨) additional.fields |
| read_ops | about.labels.key/value(지원 중단됨) additional.fields |
| storage | about.labels.key/value(지원 중단됨) additional.fields |
| storage_free | about.labels.key/value(지원 중단됨) additional.fields |
| storage_free_percent | about.labels.key/value(지원 중단됨) additional.fields |
| storage_used | about.labels.key/value(지원 중단됨) additional.fields |
| storage_used_percent | about.labels.key/value(지원 중단됨) additional.fields |
| write_blocks | about.labels.key/value(지원 중단됨) additional.fields |
| write_latency | about.labels.key/value(지원 중단됨) additional.fields |
| write_ops | about.labels.key/value(지원 중단됨) additional.fields |
| error_code | security_result.description |
| 작업 | about.labels.key/value(지원 중단됨) additional.fields |
| storage_name | about.resource.name |
사용자
다음 표에는 Splunk 데이터 세트 User의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 양방향 | about.labels.key/value(지원 중단됨) additional.fields |
| 비밀번호 | about.labels.key/value(지원 중단됨) additional.fields |
| shell | about.labels.key/value(지원 중단됨) additional.fields |
| 사용자 | principal.user.user_display_name |
| user_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
Virtual_OS
다음 표에는 Splunk 데이터 세트 Virtual_OS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 하이퍼바이저 | about.labels.key/value(지원 중단됨) additional.fields |
스냅샷
다음 표에는 Splunk 데이터 세트 Snapshot의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 크기 | about.file.size |
| 스냅샷 | about.labels.key/value(지원 중단됨) additional.fields |
| time | about.labels.key/value(지원 중단됨) additional.fields |
JVM
다음 표에는 Splunk 데이터 세트 JVM의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| jvm_description | security_result.description |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
Threading
다음 표에는 Splunk 데이터 세트 Threading의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| cm_enabled | about.labels.key/value(지원 중단됨) additional.fields |
| cm_supported | about.labels.key/value(지원 중단됨) additional.fields |
| cpu_time_enabled | about.labels.key/value(지원 중단됨) additional.fields |
| cpu_time_supported | about.labels.key/value(지원 중단됨) additional.fields |
| current_cpu_time | about.labels.key/value(지원 중단됨) additional.fields |
| current_user_time | about.labels.key/value(지원 중단됨) additional.fields |
| daemon_thread_count | about.labels.key/value(지원 중단됨) additional.fields |
| omu_supported | about.labels.key/value(지원 중단됨) additional.fields |
| peak_thread_count | about.labels.key/value(지원 중단됨) additional.fields |
| synch_supported | about.labels.key/value(지원 중단됨) additional.fields |
| thread_count | about.labels.key/value(지원 중단됨) additional.fields |
| threads_started | about.labels.key/value(지원 중단됨) additional.fields |
런타임
다음 표에는 Splunk 데이터 세트 Runtime의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| process_name | principal.process.command_line |
| start_time | about.labels.key/value(지원 중단됨) additional.fields |
| uptime | about.labels.key/value(지원 중단됨) additional.fields |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
| version | about.labels.key/value(지원 중단됨) additional.fields |
Compilation
다음 표에는 Splunk 데이터 세트 Compilation의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| compilation_time | about.labels.key/value(지원 중단됨) additional.fields |
Classloading
다음 표에는 Splunk 데이터 세트 Classloading의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| current_loaded | about.labels.key/value(지원 중단됨) additional.fields |
| total_loaded | about.labels.key/value(지원 중단됨) additional.fields |
| total_unloaded | about.labels.key/value(지원 중단됨) additional.fields |
Malware_Attacks
다음 표에는 Splunk 데이터 세트 Malware_Attacks의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 카테고리 | security_result.category_details |
| date | about.labels.key/value(지원 중단됨) additional.fields |
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_nt_domain | target.administrative_domain |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| dest_requires_av | target.labels.key/value(지원 중단됨) additional.fields |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value(지원 중단됨) additional.fields |
| file_path | target.file.full_path |
| 심각도 | security_result.severity |
| severity_id | about.labels.key/value(지원 중단됨) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value(지원 중단됨) |
| src_bunit | principal.labels.key/value(지원 중단됨) additional.fields |
| src_category | principal.labels.key/value(지원 중단됨) additional.fields |
| src_priority | principal.labels.key/value(지원 중단됨) additional.fields |
| src_user | principal.user.user_display_name |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
| 사용자 | principal.user.user_display_name |
| user_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| url | about.url |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
Malware_Operations
다음 표에는 Splunk 데이터 세트 Malware_Operations의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_nt_domain | target.labels.key/value(지원 중단됨) additional.fields |
| dest_nt_domain | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| dest_requires_av | target.labels.key/value(지원 중단됨) additional.fields |
| product_version | about.labels.key/value(지원 중단됨) additional.fields |
| signature_version | security_result.rule_version |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
Malware_Operations
다음 표에는 Splunk 데이터 세트 Malware_Operations의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
DNS
다음 표에는 Splunk 데이터 세트 DNS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| additional_answer_count | about.labels.key/value(지원 중단됨) additional.fields |
| answer | network.dns.answer.data |
| answer_count | about.labels.key/value(지원 중단됨) additional.fields |
| authority_answer_count | about.labels.key/value(지원 중단됨) additional.fields |
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| duration | network.session_duration |
| message_type | about.labels.key/value(지원 중단됨) additional.fields |
| name | about.labels.key/value(지원 중단됨) additional.fields |
| 쿼리 | network.dns.questions.name |
| query_count | about.labels.key/value(지원 중단됨) additional.fields |
| query_type | network.dns.questions.type |
| record_type | network.dns.answer.type(uint32) |
| reply_code | about.labels.key/value(지원 중단됨) additional.fields |
| reply_code_id | network.dns.response_code |
| response_time | about.labels.key/value(지원 중단됨) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value(지원 중단됨) |
| src_bunit | principal.labels.key/value(지원 중단됨) additional.fields |
| src_category | principal.labels.key/value(지원 중단됨) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value(지원 중단됨) additional.fields |
| tag | about.labels.key/value(지원 중단됨) additional.fields |
| transaction_id | network.dns.id |
| 전송 | network.ip_protocol |
| ttl | about.labels.key/value(지원 중단됨) additional.fields |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
All_Sessions
다음 표에는 Splunk 데이터 세트 All_Sessions의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_dns | target.labels.key/value(지원 중단됨) additional.fields |
| dest_ip | network.dhcp.ciaddr |
| dest_mac | network.dhcp.chaddr |
| dest_nt_host | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| duration | network.session_duration |
| response_time | about.labels.key/value(지원 중단됨) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src_bunit | principal.labels.key/value(지원 중단됨) additional.fields |
| src_category | principal.labels.key/value(지원 중단됨) additional.fields |
| src_dns | principal.labels.key/value(지원 중단됨) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_nt_host | principal.labels.key/value(지원 중단됨) additional.fields |
| src_priority | principal.labels.key/value(지원 중단됨) additional.fields |
| tag | about.labels.key/value(지원 중단됨) additional.fields |
| 사용자 | principal.user.user_display_name |
| user_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
DHCP
다음 표에는 Splunk 데이터 세트 DHCP의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| lease_duration | network.dhcp.lease_time_second |
| lease_scope | about.labels.key/value(지원 중단됨) additional.fields |
All_Traffic
다음 표에는 Splunk 데이터 세트 All_Traffic의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 앱 | network.application_protocol |
| 바이트 | about.labels.key/value(지원 중단됨) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| channel | about.labels.key/value(지원 중단됨) additional.fields |
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_interface | target.labels.key/value(지원 중단됨) additional.fields |
| dest_ip | target.ip |
| dest_mac | target.mac |
| dest_port | target.port |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| dest_translated_ip | target.nat_ip |
| dest_translated_port | target.nat_port |
| dest_zone | target.location.country_or_origin |
| direction | network.direction |
| duration | network.session_duration |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| dvc_category | about.labels.key/value(지원 중단됨) additional.fields |
| dvc_ip | about.labels.key/value(지원 중단됨) additional.fields |
| dvc_mac | principal.asset.mac |
| dvc_priority | about.labels.key/value(지원 중단됨) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| flow_id | about.labels.key/value(지원 중단됨) additional.fields |
| icmp_code | about.labels.key/value(지원 중단됨) additional.fields |
| icmp_type | about.labels.key/value(지원 중단됨) additional.fields |
| packets | about.labels.key/value(지원 중단됨) additional.fields |
| packets_in | about.labels.key/value(지원 중단됨) additional.fields |
| packets_out | about.labels.key/value(지원 중단됨) additional.fields |
| protocol | about.labels.key/value(지원 중단됨) additional.fields |
| protocol_version | about.labels.key/value(지원 중단됨) additional.fields |
| response_time | about.labels.key/value(지원 중단됨) additional.fields |
| 규칙 | security_result.rule_id |
| session_id | network.session_id |
| src | principal.ip principal.hostname principal.labels.key/value(지원 중단됨) |
| src_bunit | principal.labels.key/value(지원 중단됨) additional.fields |
| src_category | principal.labels.key/value(지원 중단됨) additional.fields |
| src_interface | principal.labels.key/value(지원 중단됨) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_port | principal.port |
| src_priority | principal.labels.key/value(지원 중단됨) additional.fields |
| src_translated_ip | principal.nat_ip |
| src_translated_port | principal.nat_port |
| src_zone | principal.location.country_or_origin |
| ssid | about.labels.key/value(지원 중단됨) additional.fields |
| tag | about.labels.key/value(지원 중단됨) additional.fields |
| tcp_flag | about.labels.key/value(지원 중단됨) additional.fields |
| 전송 | network.ip_protocol |
| tos | about.labels.key/value(지원 중단됨) additional.fields |
| ttl | network.dns.additional.ttl |
| 사용자 | principal.user.userid |
| user_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value(지원 중단됨) additional.fields |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
| vlan | about.labels.key/value(지원 중단됨) additional.fields |
| wifi | about.labels.key/value(지원 중단됨) additional.fields |
All_Performance
다음 표에는 Splunk 데이터 세트 All_Performance의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| dest_should_timesync | target.labels.key/value(지원 중단됨) additional.fields |
| dest_should_update | target.labels.key/value(지원 중단됨) additional.fields |
| hypervisor_id | about.labels.key/value(지원 중단됨) additional.fields |
| resource_type | about.labels.key/value(지원 중단됨) additional.fields |
| tag | about.labels.key/value(지원 중단됨) additional.fields |
화장실
다음 표에는 Splunk 데이터 세트 Facilities의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| fan_speed | about.labels.key/value(지원 중단됨) additional.fields |
| power | about.labels.key/value(지원 중단됨) additional.fields |
| 온도 | about.labels.key/value(지원 중단됨) additional.fields |
Timesync
다음 표에는 Splunk 데이터 세트 Timesync의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
업타임
다음 표에는 Splunk 데이터 세트 Uptime의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| uptime | about.labels.key/value(지원 중단됨) additional.fields |
View_Activity
다음 표에는 Splunk 데이터 세트 View_Activity의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 앱 | target.application |
| spent | about.labels.key/value(지원 중단됨) additional.fields |
| uri | about.labels.key/value(지원 중단됨) additional.fields |
| 사용자 | principal.user.user_display_name |
| 뷰 | about.labels.key/value(지원 중단됨) additional.fields |
Datamodel_Acceleration
다음 표에는 Splunk 데이터 세트 Datamodel_Acceleration의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| access_count | about.labels.key/value(지원 중단됨) additional.fields |
| access_time | about.labels.key/value(지원 중단됨) additional.fields |
| 앱 | target.application |
| 버킷 | about.labels.key/value(지원 중단됨) additional.fields |
| buckets_size | about.labels.key/value(지원 중단됨) additional.fields |
| complete | about.labels.key/value(지원 중단됨) additional.fields |
| 크론 | about.labels.key/value(지원 중단됨) additional.fields |
| datamodel | about.labels.key/value(지원 중단됨) additional.fields |
| 다이제스트 | about.labels.key/value(지원 중단됨) additional.fields |
| earliest | about.labels.key/value(지원 중단됨) additional.fields |
| is_inprogress | about.labels.key/value(지원 중단됨) additional.fields |
| last_error | about.labels.key/value(지원 중단됨) additional.fields |
| last_sid | about.labels.key/value(지원 중단됨) additional.fields |
| latest | about.labels.key/value(지원 중단됨) additional.fields |
| mod_time | about.labels.key/value(지원 중단됨) additional.fields |
| 보관 | about.labels.key/value(지원 중단됨) additional.fields |
| 크기 | about.file.size |
| summary_id | about.labels.key/value(지원 중단됨) additional.fields |
Search_Activity
다음 표에는 Splunk 데이터 세트 Search_Activity의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 호스트 | about.hostname |
| 정보 | about.labels.key/value(지원 중단됨) additional.fields |
| 검색 | about.labels.key/value(지원 중단됨) additional.fields |
| search_et | about.labels.key/value(지원 중단됨) additional.fields |
| search_lt | about.labels.key/value(지원 중단됨) additional.fields |
| search_type | about.labels.key/value(지원 중단됨) additional.fields |
| source | principal.labels.key/value(지원 중단됨) additional.fields |
| sourcetype | principal.labels.key/value(지원 중단됨) additional.fields |
| 사용자 | principal.user.user_display_name |
| user_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Scheduler_Activity
다음 표에는 Splunk 데이터 세트 Scheduler_Activity의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 앱 | target.application |
| 호스트 | about.hostname |
| savedsearch_name | about.labels.key/value(지원 중단됨) additional.fields |
| sid | about.labels.key/value(지원 중단됨) additional.fields |
| source | principal.labels.key/value(지원 중단됨) additional.fields |
| sourcetype | principal.labels.key/value(지원 중단됨) additional.fields |
| splunk_server | principal.ip, principal.hostname |
| 상태 | security_result.summary |
| user | principal.user.user_display_name |
Web_Service_Errors
다음 표에는 Splunk 데이터 세트 Web_Service_Errors의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 호스트 | about.hostname |
| source | principal.labels.key/value(지원 중단됨) additional.fields |
| sourcetype | principal.labels.key/value(지원 중단됨) additional.fields |
| event_id | security_result.rule_name |
Modular_Actions
다음 표에는 Splunk 데이터 세트 Modular_Actions의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| action_mode | about.labels.key/value(지원 중단됨) additional.fields |
| action_status | about.labels.key/value(지원 중단됨) additional.fields |
| 앱 | target.application |
| duration | network.session_duration |
| 구성요소 | about.labels.key/value(지원 중단됨) additional.fields |
| orig_rid | about.labels.key/value(지원 중단됨) additional.fields |
| orig_sid | about.labels.key/value(지원 중단됨) additional.fields |
| rid | about.labels.key/value(지원 중단됨) additional.fields |
| search_name | about.labels.key/value(지원 중단됨) additional.fields |
| action_name | security_result.action_details |
| signature | metadata.description |
| sid | about.labels.key/value(지원 중단됨) additional.fields |
| 사용자 | about.labels.key/value(지원 중단됨) additional.fields |
All_Ticket_Management
다음 표에는 Splunk 데이터 세트 All_Ticket_Management의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| affect_dest | target.labels.key/value(지원 중단됨) additional.fields |
| 댓글 | about.labels.key/value(지원 중단됨) additional.fields |
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| priority | security_result.priority_details |
| 심각도 | security_result.severity |
| severity_id | about.labels.key/value(지원 중단됨) additional.fields |
| splunk_id | about.labels.key/value(지원 중단됨) additional.fields |
| splunk_realm | about.labels.key/value(지원 중단됨) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value(지원 중단됨) additional.fields |
| src_user_category | principal.labels.key/value(지원 중단됨) additional.fields |
| src_user_priority | principal.labels.key/value(지원 중단됨) additional.fields |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
| ticket_id | target.user.attribute.label.ley/value |
| time_submitted | principal.user.attribute.creation_time |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
변경
다음 표에는 Splunk 데이터 세트 Change의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 변경 | about.labels.key/value(지원 중단됨) additional.fields |
이슈
다음 표에는 Splunk 데이터 세트 Incident의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 이슈 | about.labels.key/value(지원 중단됨) additional.fields |
문제
다음 표에는 Splunk 데이터 세트 Problem의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 문제 | about.labels.key/value(지원 중단됨) additional.fields |
업데이트
다음 표에는 Splunk 데이터 세트 Updates의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| dest_should_update | target.labels.key/value(지원 중단됨) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value(지원 중단됨) additional.fields |
| 줄이는 것을 | security_result.severity |
| severity_id | about.labels.key/value(지원 중단됨) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| 상태 | security_result.summary |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
취약점
다음 표에는 Splunk 데이터 세트 Vulnerabilities의 로그 필드와 해당 UDM 매핑이 나와 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| bugtraq | about.labels.key/value(지원 중단됨) additional.fields |
| 카테고리 | security_result.category_details |
| cert | about.labels.key/value(지원 중단됨) additional.fields |
| cve | vulnerabilites.cve_description |
| cvss | vulnerabilites.cvss_base_score |
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| dvc_category | about.labels.key/value(지원 중단됨) additional.fields |
| dvc_priority | about.labels.key/value(지원 중단됨) additional.fields |
| msft | about.labels.key/value(지원 중단됨) additional.fields |
| mskb | about.labels.key/value(지원 중단됨) additional.fields |
| 줄이는 것을 | extensions.vulns.vulnerabilites.severity |
| severity_id | about.labels.key/value(지원 중단됨) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
| url | extensions.vulns.vulnerabilites.about.url |
| user | extensions.vulns.vulnerabilites.about.user.user_display_name |
| user_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
| xref | about.labels.key/value(지원 중단됨) additional.fields |
웹
다음 표에는 Splunk 데이터 세트 웹의 로그 필드 및 해당 UDM 매핑이 나열되어 있습니다.
| 로그 필드 | UDM 매핑 |
|---|---|
| 작업 | security_result.action_details security_result.action |
| 앱 | target.application |
| 바이트 | about.labels.key/value(지원 중단됨) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| cached | about.labels.key/value(지원 중단됨) additional.fields |
| 카테고리 | security_result.category_details |
| 쿠키 | about.labels.key/value(지원 중단됨) additional.fields |
| dest | target.ip target.hostname target.labels.key/value(지원 중단됨) |
| dest_bunit | target.labels.key/value(지원 중단됨) additional.fields |
| dest_category | target.labels.key/value(지원 중단됨) additional.fields |
| dest_priority | target.labels.key/value(지원 중단됨) additional.fields |
| dest_port | target.port |
| duration | network.session_duration |
| http_content_type | about.labels.key/value(지원 중단됨) additional.fields |
| http_method | network.http.method |
| http_referrer | network.http.referral_url |
| http_referrer_domain | about.labels.key/value(지원 중단됨) additional.fields |
| http_user_agent | network.http.user_agent |
| http_user_agent_length | about.labels.key/value(지원 중단됨) additional.fields |
| response_time | about.labels.key/value(지원 중단됨) additional.fields |
| 사이트 | about.labels.key/value(지원 중단됨) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value(지원 중단됨) |
| src_bunit | principal.labels.key/value(지원 중단됨) additional.fields |
| src_category | principal.labels.key/value(지원 중단됨) additional.fields |
| src_priority | principal.labels.key/value(지원 중단됨) additional.fields |
| 상태 | network.http.response_code |
| 태그 | about.labels.key/value(지원 중단됨) additional.fields |
| uri_path | about.labels.key/value(지원 중단됨) additional.fields |
| uri_query | about.labels.key/value(지원 중단됨) additional.fields |
| url | about.url |
| url_domain | about.asset.network_domain |
| url_length | about.labels.key/value(지원 중단됨) additional.fields |
| 사용자 | principal.user.user_display_name |
| user_bunit | about.labels.key/value(지원 중단됨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(지원 중단됨) additional.fields |
UDM 이벤트 유형
다음 표에는 Splunk 태그와 해당 UDM 이벤트 유형이 나와 있습니다.
| 데이터 모델 | Splunk 태그 | UDM 이벤트 유형 |
|---|---|---|
| 알림 | 알림 | STATUS_UPDATE |
| 인증 | authentication | USER_UNCATEGORIZED |
| 인증서 | 인증서 | NETWORK_UNCATEGORIZED |
| 변경 | 변경 | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| 데이터 액세스 | 데이터, 액세스 | USER_RESOURCE_ACCESS |
| 데이터베이스 | 데이터베이스 | USER_RESOURCE_ACCESS |
| 데이터베이스 | 데이터베이스, 인스턴스, 통계 | STATUS_UPDATE |
| 데이터베이스 | 데이터베이스 인스턴스 상태 | STATUS_UPDATE |
| 데이터베이스 | 데이터베이스, 인스턴스, 잠금 | STATUS_UPDATE |
| 데이터베이스 | 데이터베이스, 쿼리 | STATUS_UPDATE |
| 데이터베이스 | 데이터베이스, 쿼리, 테이블스페이스 | STATUS_UPDATE |
| 데이터베이스 | 데이터베이스, 쿼리, 통계 | STATUS_UPDATE |
| 데이터 손실 방지 | dlp, 이슈 | SCAN_UNCATEGORIZED |
| 이메일 | 이메일 | EMAIL_UNCATEGORIZED |
| 이메일 | 이메일, 전송 | EMAIL_TRANSACTION |
| 엔드포인트 | 리슨, 포트 | SERVICE_UNSPECIFIED |
| 엔드포인트 | 프로세스, 신고 | PROCESS_UNCATEGORIZED |
| 엔드포인트 | 서비스, 신고 | SERVICE_UNSPECIFIED |
| 엔드포인트 | 엔드포인트, 파일 시스템 | FILE_UNCATEGORIZED |
| 엔드포인트 | 엔드포인트, 레지스트리 | REGISTRY_UNCATEGORIZED |
| 이벤트 서명 | track_event_signature | STATUS_UPDATE |
| 프로세스 간 메시지 | 메시징 | STATUS_UPDATE |
| 침입 감지 | ID, 공격 | SERVICE_UNSPECIFIED |
| 인벤토리 | 인벤토리 | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| 자바 가상 머신(JVM) | jvm | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| 멀웨어 | 멀웨어 | STATUS_UPDATE |
| 네트워크 확인(DNS) | 네트워크, 해상도, dns | NETWORK_DNS |
| 네트워크 세션 | 네트워크, 세션 | NETWORK_CONNECTION |
| 네트워크 세션 | 네트워크, 세션, dhcp | NETWORK_DHCP |
| 네트워크 트래픽 | 네트워크, 통신 | NETWORK_CONNECTION |
| 성능 | 성능 | SERVICE_UNSPECIFIED |
| Splunk 감사 로그 | modaction | STATUS_UPDATE |
| 티켓 관리 | 티켓 판매 | STATUS_UPDATE |
| 티켓 관리 | 티켓 판매, 변경 | STATUS_UPDATE |
| 업데이트 | update | STATUS_UPDATE |
| 취약점 | 신고, 취약점 | SCAN_UNCATEGORIZED |
| 웹 | web | NETWORK_UNCATEGORIZED |