Versa Networks Secure Access Service Edge (SASE) 로그 수집
이 문서에서는 Versa Networks Secure Access Service Edge (SASE) 로그를 수집하는 방법을 설명합니다. 파서는 초기 grok 필터 다음에 키-값 쌍을 추출합니다. 그런 다음 이러한 값을 통합 데이터 모델 (UDM)에 매핑하여 방화벽 이벤트, 애플리케이션 로그, 알람 로그와 같은 다양한 로그 형식을 처리하고 IP 프로토콜, 위험 점수와 같은 특정 필드의 변환 및 보강을 실행합니다.
시작하기 전에
- Google Security Operations 인스턴스가 있는지 확인합니다.
- Windows 2016 이상 또는
systemd
를 사용하는 Linux 호스트를 사용하고 있는지 확인합니다. - 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
- Versa SASE에 대한 권한이 있는지 확인합니다.
Google SecOps 처리 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 처리 인증 파일을 다운로드합니다. Bindplane 에이전트가 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
Windows 설치
- 관리자 권한으로 명령 프롬프트 또는 PowerShell을 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
추가 설치 리소스
- 추가 설치 옵션은 이 설치 가이드를 참고하세요.
Syslog를 수집하고 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일에 액세스합니다.
config.yaml
파일을 찾습니다. 일반적으로 Linux의/etc/bindplane-agent/
디렉터리 또는 Windows의 설치 디렉터리에 있습니다.- 텍스트 편집기 (예:
nano
,vi
, 메모장)를 사용하여 파일을 엽니다.
다음과 같이
config.yaml
파일을 수정합니다.receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: `/path/to/ingestion-authentication-file.json` # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SYSLOG namespace: versa_networks_sase raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
인프라에서 필요에 따라 포트와 IP 주소를 바꿉니다.
<customer_id>
를 실제 고객 ID로 바꿉니다./path/to/ingestion-authentication-file.json
를 Google SecOps 처리 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 업데이트합니다.
Bindplane 에이전트를 다시 시작하여 변경사항 적용
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart bindplane-agent
Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
net stop BindPlaneAgent && net start BindPlaneAgent
Versa Networks SASE 구성
관리자는 로그를 서드 파티 시스템으로 전달하도록 각 Versa Analytics 노드에서 원격 수집기를 구성해야 합니다.
Versa 분석 노드를 구성하려면 다음 단계를 따르세요.
- 로그 전달 사용 설정
- 세션 ID 로깅 사용 설정
로그 전달 사용 설정
- Versa 분석 서버에 로그인합니다.
cli
명령어를 실행하여 CLI로 이동합니다.configure
명령어를 실행하여 구성 모드로 전환한 다음load merge terminal
를 입력합니다.다음 명령어를 복사하여 붙여넣어 로그 전달을 설정합니다.
<collector_ip>
및<collector_port>
를 syslog 수집기 (Bindplane)의 IP 주소 및 포트로 바꿉니다.
set system analytics log-collector-exporter destination-address <collector_ip> set system analytics log-collector-exporter destination-port <collector_port> set system analytics log-collector-exporter transport tcp set system analytics log-collector-exporter log-types firewall-log set system analytics log-collector-exporter log-types threat-log commit
구성을 저장합니다.
save
세션 ID 로깅 사용 설정
IP 관련 정보를 로깅하려면 세션 ID 로깅을 사용 설정하세요.
- Versa Director에 로그인합니다.
- Director View로 전환합니다.
- 구성 > 기기 > 테넌트 > 기기로 이동하여 기기 뷰에 액세스합니다.
- 구성 > 기타 > 시스템 > 구성 > 구성을 선택합니다.
- 매개변수 창에서 수정을 클릭합니다.
- 매개변수 수정 창에서 LEF를 선택합니다.
방화벽 섹션에서 세션 ID 로깅 포함 체크박스를 선택합니다.
확인을 클릭합니다.
UDM 매핑 표
로그 필드 | UDM 매핑 | 논리 |
---|---|---|
accCkt |
additional.fields[].key : 'accCkt'additional.fields[].value.string_value : accCkt |
accCkt 필드에서 직접 가져온 값입니다. |
accCktId |
additional.fields[].key : 'accCktId'additional.fields[].value.string_value : accCktId |
accCktId 필드에서 직접 가져온 값입니다. |
accCktName |
additional.fields[].key : 'accCktName'additional.fields[].value.string_value : accCktName |
accCktName 필드에서 직접 가져온 값입니다. |
accessType |
additional.fields[].key : 'accessType'additional.fields[].value.string_value : accessType |
accessType 필드에서 직접 가져온 값입니다. |
action |
security_result.action : action |
action , type , idpAction , avAction 또는 urlAction 가 '허용'인 경우 ALLOW 입니다. action , type , idpAction , avAction 또는 urlAction 가 '거부', '삭제', '차단', '거부'인 경우 BLOCK 입니다. idpAction 이 UNKNOWN_ACTION 이 아닌 다른 값인 경우 |
alarmCause |
security_result.detection_fields[].key : 'alarmCause'security_result.detection_fields[].value : alarmCause |
alarmCause 필드에서 직접 가져온 값입니다. |
alarmClass |
security_result.detection_fields[].key : 'alarmClass'security_result.detection_fields[].value : alarmClass |
alarmClass 필드에서 직접 가져온 값입니다. |
alarmClearable |
security_result.detection_fields[].key : 'alarmClearable'security_result.detection_fields[].value : alarmClearable |
alarmClearable 필드에서 직접 가져온 값입니다. |
alarmEventType |
metadata.product_event_type : alarmEventType |
alarmEventType 필드에서 직접 가져온 값입니다. |
alarmKey |
security_result.detection_fields[].key : 'alarmKey'security_result.detection_fields[].value : alarmKey |
alarmKey 필드에서 직접 가져온 값입니다. |
alarmKind |
security_result.detection_fields[].key : 'alarmKind'security_result.detection_fields[].value : alarmKind |
alarmKind 필드에서 직접 가져온 값입니다. |
alarmOwner |
security_result.detection_fields[].key : 'alarmOwner'security_result.detection_fields[].value : alarmOwner |
alarmOwner 필드에서 직접 가져온 값입니다. |
alarmSeqNo |
security_result.detection_fields[].key : 'alarmSeqNo'security_result.detection_fields[].value : alarmSeqNo |
alarmSeqNo 필드에서 직접 가져온 값입니다. |
alarmSeverity |
security_result.severity_details : alarmSeverity |
alarmSeverity 필드에서 직접 가져온 값입니다. |
alarmText |
security_result.summary : alarmText |
alarmText 필드에서 직접 가져온 값으로, 큰따옴표가 삭제됩니다. |
alarmType |
security_result.description : alarmType |
alarmType 필드에서 직접 가져온 값입니다. |
appFamily |
metadata.product_event_type : appFamily security_result.detection_fields[].key : 'appFamily'security_result.detection_fields[].value : appFamily |
appFamily 필드에서 직접 가져온 값입니다. |
appId |
security_result.detection_fields[].key : 'Application ID'security_result.detection_fields[].value : appId |
appId 필드에서 직접 가져온 값입니다. |
appIdStr |
security_result.detection_fields[].key : 'appIdStr'security_result.detection_fields[].value : appIdStr |
appIdStr 필드에서 직접 가져온 값입니다. |
applianceName |
principal.hostname : applianceName |
applianceName , siteName 또는 site 필드에서 직접 가져온 값입니다. |
appProductivity |
security_result.detection_fields[].key : 'appProductivity'security_result.detection_fields[].value : appProductivity |
appProductivity 필드에서 직접 가져온 값입니다. |
appRisk |
security_result.severity_details : appRisk |
appRisk 필드에서 직접 가져온 값입니다. |
appSubFamily |
security_result.detection_fields[].key : 'appSubFamily'security_result.detection_fields[].value : appSubFamily |
appSubFamily 필드에서 직접 가져온 값입니다. |
avAccuracy |
additional.fields[].key : 'avAccuracy'additional.fields[].value.string_value : avAccuracy |
avAccuracy 필드에서 직접 가져온 값입니다. |
avAction |
security_result.action : avAction |
로직은 action 를 참고하세요. |
avMalwareName |
security_result.threat_name : avMalwareName |
avMalwareName 필드에서 직접 가져온 값입니다. |
avMalwareType |
security_result.category_details : avMalwareType |
avMalwareType 필드에서 직접 가져온 값입니다. |
classMsg |
security_result.description : classMsg |
classMsg 필드에서 직접 가져온 값으로, 큰따옴표가 삭제됩니다. |
clientIPv4Address |
target.ip : clientIPv4Address |
clientIPv4Address 필드에서 직접 가져온 값입니다. |
destIp |
target.ip : destIp destinationIPv4Address : destIp |
destIp 필드에서 직접 가져온 값입니다. |
destinationIPv4Address |
target.ip : destinationIPv4Address |
destinationIPv4Address 에서 직접 가져온 값 또는 networkPrefix 필드에서 파생된 값입니다. |
destinationIPv6Address |
target.ip : destinationIPv6Address |
destinationIPv6Address 필드에서 직접 가져온 값입니다. |
destinationPort |
target.port : destinationPort |
destinationPort 필드에서 직접 가져와 정수로 변환된 값입니다. |
destinationTransportPort |
target.port : destinationTransportPort |
destinationTransportPort 필드에서 직접 가져와 정수로 변환된 값입니다. |
deviceKey |
about.resource.attribute.labels[].key : 'deviceKey'about.resource.attribute.labels[].value : deviceKey |
'알 수 없음'이 아닌 경우 deviceKey 필드에서 직접 가져온 값입니다. |
deviceName |
about.resource.attribute.labels[].key : 'deviceName'about.resource.attribute.labels[].value : deviceName |
'알 수 없음'이 아닌 경우 deviceName 필드에서 직접 가져온 값입니다. |
duration |
network.session_duration.seconds : duration |
duration 필드에서 직접 가져와 정수로 변환된 값입니다. |
egressInterfaceName |
additional.fields[].key : 'egressInterfaceName'additional.fields[].value.string_value : egressInterfaceName |
egressInterfaceName 필드에서 직접 가져온 값입니다. |
event.type |
metadata.event_type : event.type |
applianceName (또는 sourceIPv4Address , user , sourceIPv6Address ) 및 destinationIPv4Address (또는 remoteSite , destinationIPv6Address , clientIPv4Address , hostname )가 모두 있는 경우 NETWORK_CONNECTION 입니다. 그 외의 경우 STATUS_UPDATE 를 사용합니다. applianceName 가 비어 있으면 GENERIC_EVENT 입니다. |
eventType |
principal.resource.attribute.labels[].key : 'eventType'principal.resource.attribute.labels[].value : eventType |
eventType 필드에서 직접 가져온 값입니다. |
family |
security_result.detection_fields[].key : 'family'security_result.detection_fields[].value : family |
family 필드에서 직접 가져온 값입니다. |
fc |
security_result.detection_fields[].key : 'ForwardingClass'security_result.detection_fields[].value : fc |
fc 필드에서 직접 가져온 값입니다. |
fileTransDir |
additional.fields[].key : 'fileTransDir'additional.fields[].value.string_value : fileTransDir |
fileTransDir 필드에서 직접 가져온 값입니다. |
filename |
target.file.names : filename |
filename 필드에서 직접 가져온 값입니다. |
flowCookie |
metadata.collected_timestamp : flowCookie |
flowCookie 필드에서 직접 가져와 UNIX 형식을 사용하여 타임스탬프로 변환된 값입니다. |
flowId |
principal.resource.product_object_id : flowId |
flowId 필드에서 직접 가져온 값입니다. |
forwardForwardingClass |
security_result.detection_fields[].key : 'forwardForwardingClass'security_result.detection_fields[].value : forwardForwardingClass |
forwardForwardingClass 필드에서 직접 가져온 값입니다. |
fromCountry |
principal.location.country_or_region : fromCountry target.location.country_or_region : fromCountry |
fromCountry 필드에서 직접 가져온 값입니다. |
fromUser |
principal.user.userid : fromUser |
fromUser 필드에서 직접 가져온 값입니다(비어 있지 않은 경우). '알 수 없음' 또는 'Unknown'일 수 있습니다. |
fromZone |
additional.fields[].key : 'fromZone'additional.fields[].value.string_value : fromZone |
fromZone 필드에서 직접 가져온 값입니다. |
generateTime |
metadata.collected_timestamp : generateTime |
generateTime 필드에서 직접 가져와 UNIX 형식을 사용하여 타임스탬프로 변환된 값입니다. |
hostname |
target.hostname : hostname |
hostname 필드에서 직접 가져온 값입니다. |
httpUrl |
target.url : httpUrl |
httpUrl 필드에서 직접 가져온 값입니다. |
icmpTypeIPv4 |
additional.fields[].key : 'icmpTypeIPv4'additional.fields[].value.string_value : icmpTypeIPv4 |
icmpTypeIPv4 필드에서 직접 가져온 값입니다. |
idpAction |
security_result.action : idpAction |
로직은 action 를 참고하세요. |
ingressInterfaceName |
additional.fields[].key : 'ingressInterfaceName'additional.fields[].value.string_value : ingressInterfaceName |
ingressInterfaceName 필드에서 직접 가져온 값입니다. |
ipsApplication |
additional.fields[].key : 'ipsApplication'additional.fields[].value.string_value : ipsApplication |
ipsApplication 필드에서 직접 가져온 값입니다. |
ipsDirection |
security_result.detection_fields[].key : 'ipsDirection'security_result.detection_fields[].value : ipsDirection |
ipsDirection 필드에서 직접 가져온 값입니다. |
ipsProfile |
security_result.detection_fields[].key : 'ipsProfile'security_result.detection_fields[].value : ipsProfile |
ipsProfile 필드에서 직접 가져온 값입니다. |
ipsProfileRule |
security_result.rule_name : ipsProfileRule |
ipsProfileRule 필드에서 직접 가져온 값입니다. |
ipsProtocol |
network.ip_protocol : ipsProtocol |
ipsProtocol 필드에서 직접 가져온 값입니다. |
log_type |
metadata.description : log_type metadata.log_type : log_type |
log_type 필드에서 직접 가져온 값입니다. |
mstatsTimeBlock |
metadata.collected_timestamp : mstatsTimeBlock |
mstatsTimeBlock 필드에서 직접 가져와 UNIX 형식을 사용하여 타임스탬프로 변환된 값입니다. |
mstatsTotRecvdOctets |
network.received_bytes : mstatsTotRecvdOctets |
mstatsTotRecvdOctets 필드에서 직접 가져와서 부호 없는 정수로 변환된 값입니다. |
mstatsTotSentOctets |
network.sent_bytes : mstatsTotSentOctets |
mstatsTotSentOctets 필드에서 직접 가져와서 부호 없는 정수로 변환된 값입니다. |
mstatsTotSessCount |
additional.fields[].key : 'mstatsTotSessCount'additional.fields[].value.string_value : mstatsTotSessCount |
mstatsTotSessCount 필드에서 직접 가져온 값입니다. |
mstatsTotSessDuration |
network.session_duration.seconds : mstatsTotSessDuration |
mstatsTotSessDuration 필드에서 직접 가져와 정수로 변환된 값입니다. |
mstatsType |
security_result.category_details : mstatsType |
mstatsType 필드에서 직접 가져온 값입니다. |
networkPrefix |
target.ip : networkPrefix target.port : networkPrefix |
networkPrefix 필드에서 추출된 IP 주소입니다. networkPrefix 필드에서 추출되고 정수로 변환된 포트입니다. |
protocolIdentifier |
network.ip_protocol : protocolIdentifier |
protocolIdentifier 필드에서 직접 가져온 값으로, 정수로 변환되고 조회를 사용하여 IP 프로토콜 이름에 매핑됩니다. |
recvdOctets |
network.received_bytes : recvdOctets |
recvdOctets 필드에서 직접 가져와서 부호 없는 정수로 변환된 값입니다. |
recvdPackets |
network.received_packets : recvdPackets |
recvdPackets 필드에서 직접 가져와 정수로 변환된 값입니다. |
remoteSite |
target.hostname : remoteSite |
remoteSite 필드에서 직접 가져온 값입니다. |
reverseForwardingClass |
security_result.detection_fields[].key : 'reverseForwardingClass'security_result.detection_fields[].value : reverseForwardingClass |
reverseForwardingClass 필드에서 직접 가져온 값입니다. |
risk |
security_result.risk_score : risk |
risk 필드에서 직접 가져와서 부동 소수점 수로 변환된 값입니다. |
rule |
security_result.rule_name : rule |
rule 필드에서 직접 가져온 값입니다. |
sentOctets |
network.sent_bytes : sentOctets |
sentOctets 필드에서 직접 가져와서 부호 없는 정수로 변환된 값입니다. |
sentPackets |
network.sent_packets : sentPackets |
sentPackets 필드에서 직접 가져와 정수로 변환된 값입니다. |
serialNum |
security_result.detection_fields[].key : 'serialNum'security_result.detection_fields[].value : serialNum |
serialNum 필드에서 직접 가져온 값입니다. |
signatureId |
security_result.detection_fields[].key : 'signatureID'security_result.detection_fields[].value : signatureId |
signatureId 필드에서 직접 가져온 값입니다. |
signatureMsg |
security_result.detection_fields[].key : 'signatureMsg'security_result.detection_fields[].value : signatureMsg |
signatureMsg 필드에서 직접 가져온 값입니다. |
signaturePriority |
security_result.severity : signaturePriority |
signaturePriority 이 '낮음'이면(대소문자 구분 안 함) LOW 입니다. signaturePriority 이 'medium'이면(대소문자 구분 안 함) MEDIUM 입니다. signaturePriority 이 'high'인 경우(대소문자 구분 안 함) HIGH 입니다. |
site |
principal.hostname : site applianceName : site |
site 필드에서 직접 가져온 값입니다. |
siteId |
additional.fields[].key : 'siteId'additional.fields[].value.string_value : siteId |
siteId 필드에서 직접 가져온 값입니다. |
siteName |
principal.hostname : siteName applianceName : siteName |
siteName 필드에서 직접 가져온 값입니다. |
sourceIPv4Address |
principal.ip : sourceIPv4Address |
sourceIPv4Address 필드에서 직접 가져온 값입니다. |
sourceIPv6Address |
principal.ip : sourceIPv6Address |
sourceIPv6Address 필드에서 직접 가져온 값입니다. |
sourcePort |
principal.port : sourcePort |
sourcePort 필드에서 직접 가져와 정수로 변환된 값입니다. |
sourceTransportPort |
principal.port : sourceTransportPort |
sourceTransportPort 필드에서 직접 가져와 정수로 변환된 값입니다. |
subFamily |
security_result.detection_fields[].key : 'subFamily'security_result.detection_fields[].value : subFamily |
subFamily 필드에서 직접 가져온 값입니다. |
tcpConnAborted |
additional.fields[].key : 'tcpConnAborted'additional.fields[].value.string_value : tcpConnAborted |
비어 있지 않거나 '0'이 아닌 경우 tcpConnAborted 필드에서 직접 가져온 값입니다. |
tcpConnRefused |
additional.fields[].key : 'tcpConnRefused'additional.fields[].value.string_value : tcpConnRefused |
비어 있지 않거나 '0'이 아닌 경우 tcpConnRefused 필드에서 직접 가져온 값입니다. |
tcpPktsFwd |
network.sent_packets : tcpPktsFwd |
tcpPktsFwd 필드에서 직접 가져와 정수로 변환된 값입니다. |
tcpPktsRev |
network.received_packets : tcpPktsRev |
tcpPktsRev 필드에서 직접 가져와 정수로 변환된 값입니다. |
tcpReXmitFwd |
additional.fields[].key : 'tcpReXmitFwd'additional.fields[].value.string_value : tcpReXmitFwd |
비어 있지 않거나 '0'이 아닌 경우 tcpReXmitFwd 필드에서 직접 가져온 값입니다. |
tcpReXmitRev |
additional.fields[].key : 'tcpReXmitRev'additional.fields[].value.string_value : tcpReXmitRev |
비어 있지 않거나 '0'이 아닌 경우 tcpReXmitRev 필드에서 직접 가져온 값입니다. |
tcpSAA |
additional.fields[].key : 'tcpSAA'additional.fields[].value.string_value : tcpSAA |
비어 있지 않거나 '0'이 아닌 경우 tcpSAA 필드에서 직접 가져온 값입니다. |
tcpSSA |
additional.fields[].key : 'tcpSSA'additional.fields[].value.string_value : tcpSSA |
비어 있지 않거나 '0'이 아닌 경우 tcpSSA 필드에서 직접 가져온 값입니다. |
tcpSessCnt |
additional.fields[].key : 'tcpSessCnt'additional.fields[].value.string_value : tcpSessCnt |
tcpSessCnt 필드에서 직접 가져온 값입니다. |
tcpSessDur |
network.session_duration.seconds : tcpSessDur |
tcpSessDur 필드에서 직접 가져와 정수로 변환된 값입니다. |
tcpSynAckReXmit |
additional.fields[].key : 'tcpSynAckReXmit'additional.fields[].value.string_value : tcpSynAckReXmit |
비어 있지 않거나 '0'이 아닌 경우 tcpSynAckReXmit 필드에서 직접 가져온 값입니다. |
tcpSynReXmit |
additional.fields[].key : 'tcpSynReXmit'additional.fields[].value.string_value : tcpSynReXmit |
비어 있지 않거나 '0'이 아닌 경우 tcpSynReXmit 필드에서 직접 가져온 값입니다. |
tcpTWHS |
additional.fields[].key : 'tcpTWHS'additional.fields[].value.string_value : tcpTWHS |
비어 있지 않거나 '0'이 아닌 경우 tcpTWHS 필드에서 직접 가져온 값입니다. |
tenantId |
principal.resource.attribute.labels[].key : 'tenantId'principal.resource.attribute.labels[].value : tenantId |
tenantId 필드에서 직접 가져온 값입니다. |
tenantName |
observer.hostname : tenantName |
tenantName 필드에서 직접 가져온 값입니다. |
threatType |
security_result.detection_fields[].key : 'threatType'security_result.detection_fields[].value : threatType |
threatType 필드에서 직접 가져온 값입니다. |
toCountry |
target.location.country_or_region : toCountry |
toCountry 필드에서 직접 가져온 값입니다. |
toZone |
additional.fields[].key : 'toZone'additional.fields[].value.string_value : toZone |
toZone 필드에서 직접 가져온 값입니다. |
traffType |
additional.fields[].key : 'traffType'additional.fields[].value.string_value : traffType |
traffType 필드에서 직접 가져온 값입니다. |
ts |
metadata.event_timestamp : ts |
ts 필드에서 직접 가져와 타임스탬프로 변환된 값입니다. |
type |
security_result.action : type |
로직은 action 를 참고하세요. |
urlAction |
security_result.action : urlAction |
로직은 action 를 참고하세요. |
urlActionMessage |
security_result.summary : urlActionMessage |
urlActionMessage 필드에서 직접 가져온 값입니다. |
urlCategory |
principal.resource.attribute.labels[].key : 'urlCategory'principal.resource.attribute.labels[].value : urlCategory |
urlCategory 필드에서 직접 가져온 값입니다. |
urlProfile |
additional.fields[].key : 'urlProfile'additional.fields[].value.string_value : urlProfile |
urlProfile 필드에서 직접 가져온 값입니다. |
urlReputation |
security_result.severity_details : urlReputation |
urlReputation 필드에서 직접 가져온 값입니다. |
user |
principal.ip : user |
user 필드에서 직접 가져온 값입니다. |
vsnId |
principal.resource.attribute.labels[].key : 'vsnId'principal.resource.attribute.labels[].value : vsnId |
vsnId 필드에서 직접 가져온 값입니다. 하드 코딩된 값 하드 코딩된 값 |
변경사항
2024-06-03
- 'idpAction'이 'security_result.action'에 매핑되었습니다.
- 'threatType'이 'security_result.detection_fields'에 매핑되었습니다.
- 'ipsDirection'이 'security_result.detection_fields'에 매핑되었습니다.
- 'ipsProfile'이 'security_result.detection_fields'에 매핑되었습니다.
- 'signaturePriority'가 'security_result.severity'에 매핑되었습니다.
- 'signatureMsg'가 'security_result.detection_fields'에 매핑되었습니다.
- 'signatureId'가 'security_result.detection_fields'에 매핑되었습니다.
- 'ipsApplication'이 'security_result.detection_fields'에 매핑되었습니다.
- 'classMsg'가 'security_result.description'에 매핑되었습니다.
- 'ipsProfileRule'이 'security_result.rule_name'에 매핑되었습니다.
- 'ipsProtocol'이 'network.ip_protocol'에 매핑되었습니다.
2023-07-03
- 'entitlementlog', 'monstatslog', 'tcpappmonlog'에 대한 지원이 추가되었습니다.
2022-11-04
- 파서를 새로 만들었습니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받으세요.