Versa Networks Secure Access Service Edge (SASE) 로그 수집

다음에서 지원:

이 문서에서는 Versa Networks Secure Access Service Edge (SASE) 로그를 수집하는 방법을 설명합니다. 파서는 초기 grok 필터 다음에 키-값 쌍을 추출합니다. 그런 다음 이러한 값을 통합 데이터 모델 (UDM)에 매핑하여 방화벽 이벤트, 애플리케이션 로그, 알람 로그와 같은 다양한 로그 형식을 처리하고 IP 프로토콜, 위험 점수와 같은 특정 필드의 변환 및 보강을 실행합니다.

시작하기 전에

  • Google Security Operations 인스턴스가 있는지 확인합니다.
  • Windows 2016 이상 또는 systemd를 사용하는 Linux 호스트를 사용하고 있는지 확인합니다.
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
  • Versa SASE에 대한 권한이 있는지 확인합니다.

Google SecOps 처리 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 처리 인증 파일을 다운로드합니다. Bindplane 에이전트가 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

Windows 설치

  1. 관리자 권한으로 명령 프롬프트 또는 PowerShell을 엽니다.
  2. 다음 명령어를 실행합니다.

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Linux 설치

  1. 루트 또는 sudo 권한으로 터미널을 엽니다.
  2. 다음 명령어를 실행합니다.

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

추가 설치 리소스

Syslog를 수집하고 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. 구성 파일에 액세스합니다.

    • config.yaml 파일을 찾습니다. 일반적으로 Linux의 /etc/bindplane-agent/ 디렉터리 또는 Windows의 설치 디렉터리에 있습니다.
    • 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.
  2. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
        tcplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:54525"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: `/path/to/ingestion-authentication-file.json`
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: SYSLOG
                namespace: versa_networks_sase
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
    
  3. 인프라에서 필요에 따라 포트와 IP 주소를 바꿉니다.

  4. <customer_id>를 실제 고객 ID로 바꿉니다.

  5. /path/to/ingestion-authentication-file.jsonGoogle SecOps 처리 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

    sudo systemctl restart bindplane-agent
    
  • Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Versa Networks SASE 구성

관리자는 로그를 서드 파티 시스템으로 전달하도록 각 Versa Analytics 노드에서 원격 수집기를 구성해야 합니다.

Versa 분석 노드를 구성하려면 다음 단계를 따르세요.

  • 로그 전달 사용 설정
  • 세션 ID 로깅 사용 설정

로그 전달 사용 설정

  1. Versa 분석 서버에 로그인합니다.
  2. cli 명령어를 실행하여 CLI로 이동합니다.
  3. configure 명령어를 실행하여 구성 모드로 전환한 다음 load merge terminal를 입력합니다.
  4. 다음 명령어를 복사하여 붙여넣어 로그 전달을 설정합니다.

    • <collector_ip><collector_port>를 syslog 수집기 (Bindplane)의 IP 주소 및 포트로 바꿉니다.
    set system analytics log-collector-exporter destination-address <collector_ip>
    set system analytics log-collector-exporter destination-port <collector_port>
    set system analytics log-collector-exporter transport tcp
    set system analytics log-collector-exporter log-types firewall-log
    set system analytics log-collector-exporter log-types threat-log
    commit
    
  5. 구성을 저장합니다.

    save
    

세션 ID 로깅 사용 설정

IP 관련 정보를 로깅하려면 세션 ID 로깅을 사용 설정하세요.

  1. Versa Director에 로그인합니다.
  2. Director View로 전환합니다.
  3. 구성 > 기기 > 테넌트 > 기기로 이동하여 기기 뷰에 액세스합니다.
  4. 구성 > 기타 > 시스템 > 구성 > 구성을 선택합니다.
  5. 매개변수 창에서 수정을 클릭합니다.
  6. 매개변수 수정 창에서 LEF를 선택합니다.
  7. 방화벽 섹션에서 세션 ID 로깅 포함 체크박스를 선택합니다.

  8. 확인을 클릭합니다.

UDM 매핑 표

로그 필드 UDM 매핑 논리
accCkt additional.fields[].key: 'accCkt'
additional.fields[].value.string_value: accCkt
accCkt 필드에서 직접 가져온 값입니다.
accCktId additional.fields[].key: 'accCktId'
additional.fields[].value.string_value: accCktId
accCktId 필드에서 직접 가져온 값입니다.
accCktName additional.fields[].key: 'accCktName'
additional.fields[].value.string_value: accCktName
accCktName 필드에서 직접 가져온 값입니다.
accessType additional.fields[].key: 'accessType'
additional.fields[].value.string_value: accessType
accessType 필드에서 직접 가져온 값입니다.
action security_result.action: action action, type, idpAction, avAction 또는 urlAction가 '허용'인 경우 ALLOW입니다. action, type, idpAction, avAction 또는 urlAction가 '거부', '삭제', '차단', '거부'인 경우 BLOCK입니다. idpActionUNKNOWN_ACTION이 아닌 다른 값인 경우
alarmCause security_result.detection_fields[].key: 'alarmCause'
security_result.detection_fields[].value: alarmCause
alarmCause 필드에서 직접 가져온 값입니다.
alarmClass security_result.detection_fields[].key: 'alarmClass'
security_result.detection_fields[].value: alarmClass
alarmClass 필드에서 직접 가져온 값입니다.
alarmClearable security_result.detection_fields[].key: 'alarmClearable'
security_result.detection_fields[].value: alarmClearable
alarmClearable 필드에서 직접 가져온 값입니다.
alarmEventType metadata.product_event_type: alarmEventType alarmEventType 필드에서 직접 가져온 값입니다.
alarmKey security_result.detection_fields[].key: 'alarmKey'
security_result.detection_fields[].value: alarmKey
alarmKey 필드에서 직접 가져온 값입니다.
alarmKind security_result.detection_fields[].key: 'alarmKind'
security_result.detection_fields[].value: alarmKind
alarmKind 필드에서 직접 가져온 값입니다.
alarmOwner security_result.detection_fields[].key: 'alarmOwner'
security_result.detection_fields[].value: alarmOwner
alarmOwner 필드에서 직접 가져온 값입니다.
alarmSeqNo security_result.detection_fields[].key: 'alarmSeqNo'
security_result.detection_fields[].value: alarmSeqNo
alarmSeqNo 필드에서 직접 가져온 값입니다.
alarmSeverity security_result.severity_details: alarmSeverity alarmSeverity 필드에서 직접 가져온 값입니다.
alarmText security_result.summary: alarmText alarmText 필드에서 직접 가져온 값으로, 큰따옴표가 삭제됩니다.
alarmType security_result.description: alarmType alarmType 필드에서 직접 가져온 값입니다.
appFamily metadata.product_event_type: appFamily
security_result.detection_fields[].key: 'appFamily'
security_result.detection_fields[].value: appFamily
appFamily 필드에서 직접 가져온 값입니다.
appId security_result.detection_fields[].key: 'Application ID'
security_result.detection_fields[].value: appId
appId 필드에서 직접 가져온 값입니다.
appIdStr security_result.detection_fields[].key: 'appIdStr'
security_result.detection_fields[].value: appIdStr
appIdStr 필드에서 직접 가져온 값입니다.
applianceName principal.hostname: applianceName applianceName, siteName 또는 site 필드에서 직접 가져온 값입니다.
appProductivity security_result.detection_fields[].key: 'appProductivity'
security_result.detection_fields[].value: appProductivity
appProductivity 필드에서 직접 가져온 값입니다.
appRisk security_result.severity_details: appRisk appRisk 필드에서 직접 가져온 값입니다.
appSubFamily security_result.detection_fields[].key: 'appSubFamily'
security_result.detection_fields[].value: appSubFamily
appSubFamily 필드에서 직접 가져온 값입니다.
avAccuracy additional.fields[].key: 'avAccuracy'
additional.fields[].value.string_value: avAccuracy
avAccuracy 필드에서 직접 가져온 값입니다.
avAction security_result.action: avAction 로직은 action를 참고하세요.
avMalwareName security_result.threat_name: avMalwareName avMalwareName 필드에서 직접 가져온 값입니다.
avMalwareType security_result.category_details: avMalwareType avMalwareType 필드에서 직접 가져온 값입니다.
classMsg security_result.description: classMsg classMsg 필드에서 직접 가져온 값으로, 큰따옴표가 삭제됩니다.
clientIPv4Address target.ip: clientIPv4Address clientIPv4Address 필드에서 직접 가져온 값입니다.
destIp target.ip: destIp
destinationIPv4Address: destIp
destIp 필드에서 직접 가져온 값입니다.
destinationIPv4Address target.ip: destinationIPv4Address destinationIPv4Address에서 직접 가져온 값 또는 networkPrefix 필드에서 파생된 값입니다.
destinationIPv6Address target.ip: destinationIPv6Address destinationIPv6Address 필드에서 직접 가져온 값입니다.
destinationPort target.port: destinationPort destinationPort 필드에서 직접 가져와 정수로 변환된 값입니다.
destinationTransportPort target.port: destinationTransportPort destinationTransportPort 필드에서 직접 가져와 정수로 변환된 값입니다.
deviceKey about.resource.attribute.labels[].key: 'deviceKey'
about.resource.attribute.labels[].value: deviceKey
'알 수 없음'이 아닌 경우 deviceKey 필드에서 직접 가져온 값입니다.
deviceName about.resource.attribute.labels[].key: 'deviceName'
about.resource.attribute.labels[].value: deviceName
'알 수 없음'이 아닌 경우 deviceName 필드에서 직접 가져온 값입니다.
duration network.session_duration.seconds: duration duration 필드에서 직접 가져와 정수로 변환된 값입니다.
egressInterfaceName additional.fields[].key: 'egressInterfaceName'
additional.fields[].value.string_value: egressInterfaceName
egressInterfaceName 필드에서 직접 가져온 값입니다.
event.type metadata.event_type: event.type applianceName (또는 sourceIPv4Address, user, sourceIPv6Address) 및 destinationIPv4Address (또는 remoteSite, destinationIPv6Address, clientIPv4Address, hostname)가 모두 있는 경우 NETWORK_CONNECTION입니다. 그 외의 경우 STATUS_UPDATE를 사용합니다. applianceName가 비어 있으면 GENERIC_EVENT입니다.
eventType principal.resource.attribute.labels[].key: 'eventType'
principal.resource.attribute.labels[].value: eventType
eventType 필드에서 직접 가져온 값입니다.
family security_result.detection_fields[].key: 'family'
security_result.detection_fields[].value: family
family 필드에서 직접 가져온 값입니다.
fc security_result.detection_fields[].key: 'ForwardingClass'
security_result.detection_fields[].value: fc
fc 필드에서 직접 가져온 값입니다.
fileTransDir additional.fields[].key: 'fileTransDir'
additional.fields[].value.string_value: fileTransDir
fileTransDir 필드에서 직접 가져온 값입니다.
filename target.file.names: filename filename 필드에서 직접 가져온 값입니다.
flowCookie metadata.collected_timestamp: flowCookie flowCookie 필드에서 직접 가져와 UNIX 형식을 사용하여 타임스탬프로 변환된 값입니다.
flowId principal.resource.product_object_id: flowId flowId 필드에서 직접 가져온 값입니다.
forwardForwardingClass security_result.detection_fields[].key: 'forwardForwardingClass'
security_result.detection_fields[].value: forwardForwardingClass
forwardForwardingClass 필드에서 직접 가져온 값입니다.
fromCountry principal.location.country_or_region: fromCountry
target.location.country_or_region: fromCountry
fromCountry 필드에서 직접 가져온 값입니다.
fromUser principal.user.userid: fromUser fromUser 필드에서 직접 가져온 값입니다(비어 있지 않은 경우). '알 수 없음' 또는 'Unknown'일 수 있습니다.
fromZone additional.fields[].key: 'fromZone'
additional.fields[].value.string_value: fromZone
fromZone 필드에서 직접 가져온 값입니다.
generateTime metadata.collected_timestamp: generateTime generateTime 필드에서 직접 가져와 UNIX 형식을 사용하여 타임스탬프로 변환된 값입니다.
hostname target.hostname: hostname hostname 필드에서 직접 가져온 값입니다.
httpUrl target.url: httpUrl httpUrl 필드에서 직접 가져온 값입니다.
icmpTypeIPv4 additional.fields[].key: 'icmpTypeIPv4'
additional.fields[].value.string_value: icmpTypeIPv4
icmpTypeIPv4 필드에서 직접 가져온 값입니다.
idpAction security_result.action: idpAction 로직은 action를 참고하세요.
ingressInterfaceName additional.fields[].key: 'ingressInterfaceName'
additional.fields[].value.string_value: ingressInterfaceName
ingressInterfaceName 필드에서 직접 가져온 값입니다.
ipsApplication additional.fields[].key: 'ipsApplication'
additional.fields[].value.string_value: ipsApplication
ipsApplication 필드에서 직접 가져온 값입니다.
ipsDirection security_result.detection_fields[].key: 'ipsDirection'
security_result.detection_fields[].value: ipsDirection
ipsDirection 필드에서 직접 가져온 값입니다.
ipsProfile security_result.detection_fields[].key: 'ipsProfile'
security_result.detection_fields[].value: ipsProfile
ipsProfile 필드에서 직접 가져온 값입니다.
ipsProfileRule security_result.rule_name: ipsProfileRule ipsProfileRule 필드에서 직접 가져온 값입니다.
ipsProtocol network.ip_protocol: ipsProtocol ipsProtocol 필드에서 직접 가져온 값입니다.
log_type metadata.description: log_type
metadata.log_type: log_type
log_type 필드에서 직접 가져온 값입니다.
mstatsTimeBlock metadata.collected_timestamp: mstatsTimeBlock mstatsTimeBlock 필드에서 직접 가져와 UNIX 형식을 사용하여 타임스탬프로 변환된 값입니다.
mstatsTotRecvdOctets network.received_bytes: mstatsTotRecvdOctets mstatsTotRecvdOctets 필드에서 직접 가져와서 부호 없는 정수로 변환된 값입니다.
mstatsTotSentOctets network.sent_bytes: mstatsTotSentOctets mstatsTotSentOctets 필드에서 직접 가져와서 부호 없는 정수로 변환된 값입니다.
mstatsTotSessCount additional.fields[].key: 'mstatsTotSessCount'
additional.fields[].value.string_value: mstatsTotSessCount
mstatsTotSessCount 필드에서 직접 가져온 값입니다.
mstatsTotSessDuration network.session_duration.seconds: mstatsTotSessDuration mstatsTotSessDuration 필드에서 직접 가져와 정수로 변환된 값입니다.
mstatsType security_result.category_details: mstatsType mstatsType 필드에서 직접 가져온 값입니다.
networkPrefix target.ip: networkPrefix
target.port: networkPrefix
networkPrefix 필드에서 추출된 IP 주소입니다. networkPrefix 필드에서 추출되고 정수로 변환된 포트입니다.
protocolIdentifier network.ip_protocol: protocolIdentifier protocolIdentifier 필드에서 직접 가져온 값으로, 정수로 변환되고 조회를 사용하여 IP 프로토콜 이름에 매핑됩니다.
recvdOctets network.received_bytes: recvdOctets recvdOctets 필드에서 직접 가져와서 부호 없는 정수로 변환된 값입니다.
recvdPackets network.received_packets: recvdPackets recvdPackets 필드에서 직접 가져와 정수로 변환된 값입니다.
remoteSite target.hostname: remoteSite remoteSite 필드에서 직접 가져온 값입니다.
reverseForwardingClass security_result.detection_fields[].key: 'reverseForwardingClass'
security_result.detection_fields[].value: reverseForwardingClass
reverseForwardingClass 필드에서 직접 가져온 값입니다.
risk security_result.risk_score: risk risk 필드에서 직접 가져와서 부동 소수점 수로 변환된 값입니다.
rule security_result.rule_name: rule rule 필드에서 직접 가져온 값입니다.
sentOctets network.sent_bytes: sentOctets sentOctets 필드에서 직접 가져와서 부호 없는 정수로 변환된 값입니다.
sentPackets network.sent_packets: sentPackets sentPackets 필드에서 직접 가져와 정수로 변환된 값입니다.
serialNum security_result.detection_fields[].key: 'serialNum'
security_result.detection_fields[].value: serialNum
serialNum 필드에서 직접 가져온 값입니다.
signatureId security_result.detection_fields[].key: 'signatureID'
security_result.detection_fields[].value: signatureId
signatureId 필드에서 직접 가져온 값입니다.
signatureMsg security_result.detection_fields[].key: 'signatureMsg'
security_result.detection_fields[].value: signatureMsg
signatureMsg 필드에서 직접 가져온 값입니다.
signaturePriority security_result.severity: signaturePriority signaturePriority이 '낮음'이면(대소문자 구분 안 함) LOW입니다. signaturePriority이 'medium'이면(대소문자 구분 안 함) MEDIUM입니다. signaturePriority이 'high'인 경우(대소문자 구분 안 함) HIGH입니다.
site principal.hostname: site
applianceName: site
site 필드에서 직접 가져온 값입니다.
siteId additional.fields[].key: 'siteId'
additional.fields[].value.string_value: siteId
siteId 필드에서 직접 가져온 값입니다.
siteName principal.hostname: siteName
applianceName: siteName
siteName 필드에서 직접 가져온 값입니다.
sourceIPv4Address principal.ip: sourceIPv4Address sourceIPv4Address 필드에서 직접 가져온 값입니다.
sourceIPv6Address principal.ip: sourceIPv6Address sourceIPv6Address 필드에서 직접 가져온 값입니다.
sourcePort principal.port: sourcePort sourcePort 필드에서 직접 가져와 정수로 변환된 값입니다.
sourceTransportPort principal.port: sourceTransportPort sourceTransportPort 필드에서 직접 가져와 정수로 변환된 값입니다.
subFamily security_result.detection_fields[].key: 'subFamily'
security_result.detection_fields[].value: subFamily
subFamily 필드에서 직접 가져온 값입니다.
tcpConnAborted additional.fields[].key: 'tcpConnAborted'
additional.fields[].value.string_value: tcpConnAborted
비어 있지 않거나 '0'이 아닌 경우 tcpConnAborted 필드에서 직접 가져온 값입니다.
tcpConnRefused additional.fields[].key: 'tcpConnRefused'
additional.fields[].value.string_value: tcpConnRefused
비어 있지 않거나 '0'이 아닌 경우 tcpConnRefused 필드에서 직접 가져온 값입니다.
tcpPktsFwd network.sent_packets: tcpPktsFwd tcpPktsFwd 필드에서 직접 가져와 정수로 변환된 값입니다.
tcpPktsRev network.received_packets: tcpPktsRev tcpPktsRev 필드에서 직접 가져와 정수로 변환된 값입니다.
tcpReXmitFwd additional.fields[].key: 'tcpReXmitFwd'
additional.fields[].value.string_value: tcpReXmitFwd
비어 있지 않거나 '0'이 아닌 경우 tcpReXmitFwd 필드에서 직접 가져온 값입니다.
tcpReXmitRev additional.fields[].key: 'tcpReXmitRev'
additional.fields[].value.string_value: tcpReXmitRev
비어 있지 않거나 '0'이 아닌 경우 tcpReXmitRev 필드에서 직접 가져온 값입니다.
tcpSAA additional.fields[].key: 'tcpSAA'
additional.fields[].value.string_value: tcpSAA
비어 있지 않거나 '0'이 아닌 경우 tcpSAA 필드에서 직접 가져온 값입니다.
tcpSSA additional.fields[].key: 'tcpSSA'
additional.fields[].value.string_value: tcpSSA
비어 있지 않거나 '0'이 아닌 경우 tcpSSA 필드에서 직접 가져온 값입니다.
tcpSessCnt additional.fields[].key: 'tcpSessCnt'
additional.fields[].value.string_value: tcpSessCnt
tcpSessCnt 필드에서 직접 가져온 값입니다.
tcpSessDur network.session_duration.seconds: tcpSessDur tcpSessDur 필드에서 직접 가져와 정수로 변환된 값입니다.
tcpSynAckReXmit additional.fields[].key: 'tcpSynAckReXmit'
additional.fields[].value.string_value: tcpSynAckReXmit
비어 있지 않거나 '0'이 아닌 경우 tcpSynAckReXmit 필드에서 직접 가져온 값입니다.
tcpSynReXmit additional.fields[].key: 'tcpSynReXmit'
additional.fields[].value.string_value: tcpSynReXmit
비어 있지 않거나 '0'이 아닌 경우 tcpSynReXmit 필드에서 직접 가져온 값입니다.
tcpTWHS additional.fields[].key: 'tcpTWHS'
additional.fields[].value.string_value: tcpTWHS
비어 있지 않거나 '0'이 아닌 경우 tcpTWHS 필드에서 직접 가져온 값입니다.
tenantId principal.resource.attribute.labels[].key: 'tenantId'
principal.resource.attribute.labels[].value: tenantId
tenantId 필드에서 직접 가져온 값입니다.
tenantName observer.hostname: tenantName tenantName 필드에서 직접 가져온 값입니다.
threatType security_result.detection_fields[].key: 'threatType'
security_result.detection_fields[].value: threatType
threatType 필드에서 직접 가져온 값입니다.
toCountry target.location.country_or_region: toCountry toCountry 필드에서 직접 가져온 값입니다.
toZone additional.fields[].key: 'toZone'
additional.fields[].value.string_value: toZone
toZone 필드에서 직접 가져온 값입니다.
traffType additional.fields[].key: 'traffType'
additional.fields[].value.string_value: traffType
traffType 필드에서 직접 가져온 값입니다.
ts metadata.event_timestamp: ts ts 필드에서 직접 가져와 타임스탬프로 변환된 값입니다.
type security_result.action: type 로직은 action를 참고하세요.
urlAction security_result.action: urlAction 로직은 action를 참고하세요.
urlActionMessage security_result.summary: urlActionMessage urlActionMessage 필드에서 직접 가져온 값입니다.
urlCategory principal.resource.attribute.labels[].key: 'urlCategory'
principal.resource.attribute.labels[].value: urlCategory
urlCategory 필드에서 직접 가져온 값입니다.
urlProfile additional.fields[].key: 'urlProfile'
additional.fields[].value.string_value: urlProfile
urlProfile 필드에서 직접 가져온 값입니다.
urlReputation security_result.severity_details: urlReputation urlReputation 필드에서 직접 가져온 값입니다.
user principal.ip: user user 필드에서 직접 가져온 값입니다.
vsnId principal.resource.attribute.labels[].key: 'vsnId'
principal.resource.attribute.labels[].value: vsnId
vsnId 필드에서 직접 가져온 값입니다. 하드 코딩된 값 하드 코딩된 값

변경사항

2024-06-03

  • 'idpAction'이 'security_result.action'에 매핑되었습니다.
  • 'threatType'이 'security_result.detection_fields'에 매핑되었습니다.
  • 'ipsDirection'이 'security_result.detection_fields'에 매핑되었습니다.
  • 'ipsProfile'이 'security_result.detection_fields'에 매핑되었습니다.
  • 'signaturePriority'가 'security_result.severity'에 매핑되었습니다.
  • 'signatureMsg'가 'security_result.detection_fields'에 매핑되었습니다.
  • 'signatureId'가 'security_result.detection_fields'에 매핑되었습니다.
  • 'ipsApplication'이 'security_result.detection_fields'에 매핑되었습니다.
  • 'classMsg'가 'security_result.description'에 매핑되었습니다.
  • 'ipsProfileRule'이 'security_result.rule_name'에 매핑되었습니다.
  • 'ipsProtocol'이 'network.ip_protocol'에 매핑되었습니다.

2023-07-03

  • 'entitlementlog', 'monstatslog', 'tcpappmonlog'에 대한 지원이 추가되었습니다.

2022-11-04

  • 파서를 새로 만들었습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받으세요.