SEP 변경 로그
| 날짜 | 변경사항 |
|---|---|
| 2023-11-28 | 버그 수정:
- 'event_time'이 있는 경우 'datetime'에 동일하게 매핑됩니다. |
| 2023-11-08 | 버그 수정:
- 'target.asset.hostname'에 대한 'ServerName' 매핑이 삭제되었고 'intermediary.hostname'에 매핑되었습니다. - 'Actualaction'이 'Cleaned'인 경우 'security_result.action'이 'BLOCK'에, 'is_significant'가 'false'에 매핑되었습니다. - 다양한 패턴으로 파싱되지 않은 로그가 파싱되도록 Grok 패턴이 추가되었습니다. - 'type', 'utility-sub-type', 'lang', 'service-sandbox-type', 'mojo-platform-channel-handle', 'field-trial-handle', 'disable-features'가 'security_result.detection_fields'에 매핑되었습니다. - 'target_arguments'가 'read_only_udm.additional.fields'에 매핑되었습니다. - 'user-data-dir'가 'sec_result.about.file.full_path'에 매핑되었습니다. - 'security-realm'이 'security_result.summary'에 매핑되었습니다. - 'startup-url'이 'principal.url'에 매핑되었습니다. - 'source_ip'가 'target.ip'에 매핑되었습니다. - 'action_word'가 'security_result.action_details'에 매핑되었습니다. |
| 2023-10-12 | 버그 수정:
- 다양한 패턴으로 파싱되지 않은 로그가 파싱되도록 Grok 패턴이 추가되었습니다. |
| 2023-04-21 | 버그 수정:
- 포함 파일의 중간 변수 이름이 변경되었습니다. - 'File' 관련 이벤트의 'security_result.rule_name'이 매핑되었습니다. |
| 2023-04-10 | 개선사항:
- logType 'File Read', 'File Write', 'File Delete' 또는 'Registry Write'가 있는 삭제된 로그가 처리되었습니다. - 'payload.domain_name'이 'principal.administrative_domain'에 매핑되었습니다. - 'payload.device_id' 및 'event_description'에 대한 null 검사가 추가되었습니다. |
| 2023-01-21 | 개선사항:
- 'targetComputerName', 'event_description1'에 대한 조건부 검사가 추가되었습니다. - 'file_full_path', 'GroupName', 'ServerName'에 대한 on_error 검사가 추가되었습니다. - 'Applicationtype'이 'principal.resource.attribute.labels'에 매핑되었습니다. - 'mail'이 'target.user.email_addresses'에 매핑했습니다. - 'server_name_1'이 'principal.hostname'에 매핑되었습니다. - 'SEC' logtype: - 'computer'가 'principal.hostname'에 매핑되었습니다. - 'syslogServer'가 'intermediary.hostname'에 매핑되었습니다. - 'event_description'이 'metadata.description'에 매핑되었습니다. - 'SONAR', 'CVE', 'SEC' logtype에 'for loop'가 추가되었습니다. |
| 2022-11-24 | 개선사항:
- 'SONAR detection now allowed'가 포함된 로그가 파싱되도록 grok 패턴이 추가되었습니다. |
| 2022-11-15 | 개선사항:
- 'Virus Found' 및 'SONAR Scan' 유형의 실패한 로그가 파싱되도록 grok 패턴이 추가되었습니다. - 'Categorytype'에 대한 조건부 검사가 추가되었습니다. |
| 2022-10-25 | 개선사항:
- 'EventDescription'이 'metadata.description'에 매핑되었습니다. - 'LocalHostIP', 'IPAddress', 'source_ip'가 'principal.ip'에 매핑되었습니다. - 'LocalHostMAC'이 'principal.mac'에 매핑되었습니다. - 'computer'가 'principal.hostname'에 매핑되었습니다. - 'guid'가 'principal.asset.asset_id'에 매핑되었습니다. - 'DeviceID'가 'principal.resource.product_object_id'에 매핑되었습니다. - 'Filesize'가 'target.file.size'에 매핑되었습니다. - 'SHA256'이 'target.file.sha256'에 매핑되었습니다. - 'User1'이 'principal.user.userid'에 매핑되었습니다. - 'file_path'가 'target.file.full_path'에 매핑되었습니다. - 'GroupName'이 'principal.group.group_display_name'에 매핑되었습니다. - 'action_word'가 'security_result.action_details'에 매핑되었습니다. - 'Begin'이 'vulnerabilities.scan_start_time'에 매핑되었습니다. - 'EndTime'이 'vulnerabilities.scan_end_time'에 매핑되었습니다. - 'ScanID'가 'principal.process.product_specific_process_id'에 매핑되었습니다. - 'inter_host'가 'intermediary.hostname'에 매핑되었습니다. - 'inter_ip'가 'intermediary.ip'에 매핑되었습니다. - 'ActionType'이 'additional.fields'에 매핑되었습니다. - 'Rule'이 'security_result.rule_name'에 매핑되었습니다. |
| 2022-10-10 | - 'category'가 'security_result.category_details'에 매핑되었습니다.
- 'CIDS Signature ID'가 'target.resource.attribute.labels'에 매핑되었습니다. - 'CIDS Signature SubID'가 'target.resource.attribute.labels'에 매핑되었습니다. - 'CIDS Signature string'이 'target.resource.attribute.labels'에 매핑되었습니다. - 'Intrusion URL'이 'principal.url'에 매핑되었습니다. - 'User Name'이 'principal.user.userid'에 매핑되었습니다. - 'Actual action'이 'security_result.action_details'에 매핑되었습니다. - 'Application hash'가 'target.file.sha256'에 매핑되었습니다. - 'Application name'이 'target.application'에 매핑되었습니다. - 'Application type'이 'target.resource.attribute.labels'에 매핑되었습니다. - 'Certificate issuer'가 'network.tls.server.certificate.issuer'에 매핑되었습니다. - 'Certificate serial number'가 'network.tls.server.certificate.serial'에 매핑되었습니다. - 'Certificate signer'가 'network.tls.server.certificate.subject'에 매핑되었습니다. - 'Certificate thumbprint'가 'network.tls.server.certificate.sha256'에 매핑되었습니다. - 'Secondary action'이 'target.resource.attribute.labels'에 매핑되었습니다. - 'First Seen'이 'security_result.detection_fields'에 매핑되었습니다. - 'Risk Name'이 'security_result.detection_fields'에 매핑되었습니다. - 'Risk Type'이 'security_result.detection_fields'에 매핑되었습니다. - 'Permitted application reason'이 'security_result.detection_fields'에 매핑되었습니다. - 'Company name'이 'target.user.company_name'에 매핑되었습니다. - 'Computer name'이 'principal.hostname'에 매핑되었습니다. - 'Server Name'이 'principal.asset.network_domain'에 매핑되었습니다. - 'Confidence'가 'security_result.description'에 매핑되었습니다. - 'Detection Type'이 'security_result.summary'에 매핑되었습니다. - 'Group Name'이 'principal.group.group_display_name'에 매핑되었습니다. - 'Risk Level'이 'security_result.severity_details'에 매핑되었습니다. - '파File size (bytes)'가 'target.file.size'로 매핑되었습니다. |
| 2022-09-21 | 개선사항 - 커스텀 파서가 기본 파서로 마이그레이션되었습니다.
|
| 2022-08-12 | 개선사항 - 로그가 파싱되도록 grok 패턴이 수정되었습니다.
삭제된 로그가 처리되었고 유효한 event_types에 매핑되었습니다. - 다음 logType이 있는 삭제된 로그가 이제 처리됩니다. 'REP', 'SubmissionsMan', 'SYLINK', 'IPS', 'SONAR', 'SEC', 'CVE', 'LiveUpdate Manager; Messages related to definition updates', 'Antivirus detection submission'. - 'Create Process|GUP|RebootManager|Smc|WSS|Network Intrusion|Mitigation System'이 포함된 새로운 조건 'msg1'이 처리됩니다. - 'client-server activity logs|Got a valid certificate.|Replication .*from remote site|The database|received the client log successfully'이 포함된 event_description - 파싱된 logType REP,SONAR,CVE,GUP,Smc,WSS가 처리되도록 새로운 코드 블록이 추가되었습니다. - 가능한 경우 이벤트 유형을 'GENERIC_EVENT'에서 'STATUS_UPDATE', 'USER_UNCATEGORIZED', 'NETWORK_CONNECTION', 'STATUS_UNCATEGORIZED'로 변경했습니다. - 'eventDescription'이 'metadata.description'에 매핑되었습니다. - 'hostName'이 'principal.hostname'에 매핑되었습니다. - 'machineDomainName'이 'principal.admin_domain'에 매핑되었습니다. - 'domainName'이 'target.administrative_domain'에 매핑되었습니다. - 'serverName'이 'intermediary.hostname'에 매핑되었습니다. - 'userName'이 'principal.user.userid'에 매핑되었습니다. - 'siteName'이 'read_only_udm.additional.fields'에 매핑되었습니다. |
| 2022-07-26 | messageTmp가 사이트로 다음 필드에 매핑된 로그:
- 'eventDescription'이 'metadata.description'에 매핑되었습니다. - 'hostName'이 'target.hostname'에 매핑되었습니다. - 'machineDomainName'이 'target.administrative_domain'에 매핑되었습니다. - 'domainName'이 'principal.administrative_domain'에 매핑되었습니다. - 'serverName'이 'principal.hostname'에 매핑되었습니다. - 'userName'이 'principal.user.userid'에 매핑되었습니다. - 'siteName'이 'read_only_udm.additional.fields'에 매핑되었습니다. |
| 2022-05-11 | 'yyyy-MM-dd HH:mm:ss' 형식의 파싱된 이벤트 타임스탬프 로그 항목입니다.
|