이 페이지는 Cloud Translation API를 통해 번역되었습니다.

UDM 사용 가이드

이 문서에서는 통합 데이터 모델 (UDM) 스키마의 필드에 대해 자세히 설명합니다. 각 이벤트 유형의 필수 필드와 선택적 필드가 나열되어 있습니다.

특정 UDM 필드 (예: enum 번호)에 관한 자세한 내용은 통합 데이터 모델 필드 목록을 참고하세요.

UDM 필드 이름 형식:

규칙 엔진 평가의 경우 프리픽스는 udm으로 시작합니다.
구성 기반 노멀라이저 (CBN)의 경우 프리픽스는 event.idm.read_only_udm으로 시작합니다.

이벤트 메타데이터 채우기

UDM 이벤트의 이벤트 메타데이터 섹션에는 각 이벤트에 대한 일반적인 정보가 저장됩니다.

Metadata.event_type

용도: 이벤트의 유형을 지정합니다. 이벤트에 사용 가능한 유형이 여러 개인 경우 이 값은 가장 구체적인 유형을 지정해야 합니다.
필수: 예
인코딩: 사전 정의된 UDM event_type 열거형 중 하나여야 합니다.
가능한 값: 다음은 UDM 내 event_type의 가능한 모든 값을 나열합니다.

분석가 이벤트

ANALYST_ADD_COMMENT
ANALYST_UPDATE_PRIORITY
ANALYST_UPDATE_REASON
ANALYST_UPDATE_REPUTATION
ANALYST_UPDATE_RISK_SCORE
ANALYST_UPDATE_ROOT_CAUSE
ANALYST_UPDATE_SEVERITY_SCORE
ANALYST_UPDATE_STATUS
ANALYST_UPDATE_VERDICT

기기 이벤트

DEVICE_CONFIG_UPDATE
DEVICE_FIRMWARE_UPDATE
DEVICE_PROGRAM_DOWNLOAD
DEVICE_PROGRAM_UPLOAD

이메일 이벤트

EMAIL_UNCATEGORIZED
EMAIL_TRANSACTION
EMAIL_URL_CLICK

지정되지 않은 이벤트

EVENTTYPE_UNSPECIFIED

엔드포인트에서 수행된 파일 이벤트

FILE_UNCATEGORIZED
FILE_COPY(예: 파일을 USB 드라이브에 복사)
FILE_CREATION
FILE_DELETION
FILE_MODIFICATION
FILE_MOVE
FILE_OPEN(예: 파일 열기는 보안 침해를 나타낼 수 있음)
FILE_READ(예: 비밀번호 파일 읽기)
FILE_SYNC

다른 카테고리에 해당하지 않는 이벤트

분류되지 않은 Windows 이벤트 등 다른 카테고리에 해당하지 않는 이벤트:

GENERIC_EVENT

그룹 활동 이벤트

GROUP_UNCATEGORIZED
GROUP_CREATION
GROUP_DELETION
GROUP_MODIFICATION

뮤텍스 이벤트

MUTEX_UNCATEGORIZED
MUTEX_CREATION

네트워크 원격 분석 이벤트

네트워크 원격 분석 이벤트(DHCP 및 DNS와 같은 원시 프로토콜 페이로드와 HTTP, SMTP, FTP와 같은 프로토콜에 대한 프로토콜 요약, NetFlow 및 방화벽에서 흐름 및 연결 이벤트 포함):

NETWORK_UNCATEGORIZED
NETWORK_CONNECTION(예: 방화벽의 네트워크 연결 세부정보)
NETWORK_DHCP
NETWORK_DNS
NETWORK_FLOW(예: Netflow에서 집계된 흐름 통계)
NETWORK_FTP
NETWORK_HTTP
NETWORK_SMTP

처리 이벤트

프로세스 실행, 악의적인 프로세스를 만드는 프로세스, 다른 프로세스에 삽입한 프로세스, 레지스트리 키 변경, 디스크에 악성 파일 생성 등의 프로세스와 관련된 모든 이벤트.

PROCESS_UNCATEGORIZED
PROCESS_INJECTION
PROCESS_LAUNCH
PROCESS_MODULE_LOAD
PROCESS_OPEN
PROCESS_PRIVILEGE_ESCALATION
PROCESS_TERMINATION

레지스트리 이벤트

Microsoft Windows별 레지스트리 이벤트를 처리할 때는 SETTING 이벤트가 아닌 다음 REGISTRY 이벤트를 사용합니다.

REGISTRY_UNCATEGORIZED
REGISTRY_CREATION
REGISTRY_MODIFICATION
REGISTRY_DELETION

리소스 이벤트

RESOURCE_CREATION
RESOURCE_DELETION
RESOURCE_PERMISSIONS_CHANGE
RESOURCE_READ
RESOURCE_WRITTEN

스캔 중심 이벤트

스캔 중심 이벤트에는 엔드포인트 보안 제품 (EDR, AV, DLP)에서 실행되는 주문형 스캔 및 행동 감지가 포함됩니다. SecurityResult를 다른 이벤트 유형 (예: PROCESS_LAUNCH)에 연결할 때만 사용됩니다.

스캔 중심 이벤트:

SCAN_UNCATEGORIZED
SCAN_FILE
SCAN_HOST
SCAN_NETWORK
SCAN_PROCESS
SCAN_PROCESS_BEHAVIORS
SCAN_VULN_HOST
SCAN_VULN_NETWORK

예약된 작업 이벤트 (Windows Task Scheduler, cron 등)

SCHEDULED_TASK_UNCATEGORIZED
SCHEDULED_TASK_CREATION
SCHEDULED_TASK_DELETION
SCHEDULED_TASK_DISABLE
SCHEDULED_TASK_ENABLE
SCHEDULED_TASK_MODIFICATION

서비스 이벤트

SERVICE_UNSPECIFIED
SERVICE_CREATION
SERVICE_DELETION
SERVICE_MODIFICATION
SERVICE_START
SERVICE_STOP

이벤트 설정

이벤트 요구사항 설정은 설정 - 필수 필드를 참고하세요.

엔드포인트의 시스템 설정 변경을 포함한 이벤트 설정:

SETTING_UNCATEGORIZED
SETTING_CREATION
SETTING_DELETION
SETTING_MODIFICATION

보안 제품의 상태 메시지

보안 제품의 상태 메시지. 에이전트가 활성 상태임을 나타내고 버전, 디지털 지문 또는 기타 유형의 데이터를 전송함.

STATUS_UNCATEGORIZED
STATUS_HEARTBEAT(제품이 활성 상태임을 나타냄)
STATUS_STARTUP
STATUS_SHUTDOWN
STATUS_UPDATE(소프트웨어 또는 디지털 지문 업데이트)

시스템 감사 로그 이벤트

SYSTEM_AUDIT_LOG_UNCATEGORIZED
SYSTEM_AUDIT_LOG_WIPE

사용자 인증 활동 이벤트

USER_UNCATEGORIZED
USER_BADGE_IN(예: 사용자가 현장에 배지를 찍고 들어가는 경우)
USER_CHANGE_PASSWORD
USER_CHANGE_PERMISSIONS
USER_COMMUNICATION
USER_CREATION
사용자 삭제
USER_LOGIN
USER_LOGOUT
USER_RESOURCE_ACCESS
USER_RESOURCE_CREATION
USER_RESOURCE_DELETION
USER_RESOURCE_UPDATE_CONTENT
USER_RESOURCE_UPDATE_PERMISSIONS
USER_STATS

Metadata.collected_timestamp

목적: 공급업체의 로컬 수집 인프라에서 이벤트를 수집할 때 GMT 타임스탬프를 인코딩합니다.
인코딩: JSON 또는 Proto3 타임스탬프 형식에 적합한 RFC 3339입니다.
예:
- RFC 3339: '2019-09-10T20:32:31-08:00'
- Proto3 형식: '2012-04-23T18:25:43.511Z'

Metadata.event_timestamp

목적: 이벤트가 생성된 시점에 GMT 타임스탬프를 인코딩합니다.
필수: 예
인코딩: JSON 또는 Proto3 타임스탬프 형식에 적합한 RFC 3339입니다.
예:
- RFC 3339: 2019-09-10T20:32:31-08:00
- Proto3 형식: 2012-04-23T18:25:43.511Z

Metadata.description

용도: 사람이 읽을 수 있는 이벤트 설명입니다.
인코딩: 영숫자 문자열, 구두점이 허용되며 최대 1, 024바이트입니다.
예: c:\bar\foo.exe 파일이 민감한 문서 c:\documents\earnings.docx에 액세스하지 못하도록 차단되었습니다.

Metadata.product_event_type

용도: 짧고 설명이 포함되며 사람이 읽을 수 있는 제품별 이벤트 이름 또는 유형입니다.
인코딩: 영숫자 문자열, 구두점이 허용되며 최대 64바이트입니다.
예:
- 레지스트리 만들기 이벤트
- ProcessRollUp
- 권한 에스컬레이션이 감지됨
- 멀웨어가 차단됨

Metadata.product_log_id

목적: 공급업체별 이벤트 식별자를 인코딩하여 이벤트 (GUID)를 고유하게 식별합니다. 사용자는 이 식별자를 사용하여 공급업체 독점 콘솔에서 해당 이벤트를 검색할 수 있습니다.
인코딩: 대소문자 구분, 영숫자 문자열, 구두점이 허용되며 최대 256바이트입니다.
예: ABcd1234-98766

Metadata.product_name

용도: 제품의 이름을 지정합니다.
인코딩: 대소문자 구분, 영숫자 문자열, 구두점이 허용되며 최대 256바이트입니다.
예:
- Falcon
- Symantec Endpoint Protection

Metadata.product_version

용도: 제품의 버전을 지정합니다.
인코딩: 영숫자 문자열, 마침표 및 대시 허용, 최대 32바이트
예:
- 1.2.3b
- 10.3:rev1

Metadata.url_back_to_product

용도: 이 특정 이벤트 (또는 일반 이벤트 카테고리)에 대한 자세한 정보를 볼 수 있는 관련 웹사이트로 연결되는 URL입니다.
인코딩: 포트 정보 등의 선택적 매개변수가 포함된 유효한 RFC 3986 URL입니다. URL 앞에 https:// 또는 http://와 같은 프로토콜 프리픽스가 있어야 합니다.
예: https&colon;//newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

용도: 제품 공급업체의 이름을 지정합니다.
인코딩: 대소문자 구분, 영숫자 문자열, 구두점이 허용되며 최대 256바이트입니다.
예:
- CrowdStrike
- Symantec

Noun 메타데이터 채우기

이 섹션에서 Noun이라는 단어는 principal, src, target, intermediary, observer, about 항목을 나타내기 위해 사용되는 중요한 용어입니다. 이러한 항목에는 공통 속성이 있지만 한 이벤트에서 서로 다른 객체를 나타냅니다. 항목 및 각 항목이 이벤트에서 무엇을 나타내는지 자세히 알아보려면 UDM으로 로그 데이터 형식 지정을 참고하세요.

Noun.asset_id

목적: 공급업체별 고유 기기 식별자 (예: 시간이 지남에 따라 고유한 기기를 추적하는 데 사용되는 새 기기에 엔드포인트 보안 소프트웨어를 설치할 때 생성되는 GUID).
인코딩: VendorName.ProductName:ID. 여기서 VendorName은 대소문자를 구분하지 않는 공급업체 이름(예: 'Carbon Black')이고, ProductName은 대소문자를 구분하지 않는 제품 이름(예: 'Response' 또는 'Endpoint Protection')이며, ID는 고객 환경 내에서 전역적으로 고유한 공급업체별 고객 식별자입니다(예: 고유 기기를 식별하는 GUID 또는 고유 값). VendorName 및 ProductName은 32자 이하의 영숫자입니다. ID는 최대 128자(영문 기준)이어야 하며 영숫자 문자, 대시, 마침표를 포함할 수 있습니다.
예: CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Noun.email

목적: 이메일 주소
인코딩: 표준 이메일 주소 형식입니다.
예: johns@test.altostrat.com

Noun.file

용도: 상세한 파일 메타데이터입니다.
유형: 객체
파일 메타데이터 채우기를 참조하세요.

Noun.hostname

목적: 클라이언트 호스트 이름이나 도메인 이름 필드입니다. URL이 있으면 포함하지 마세요.
인코딩: 유효한 RFC 1123 호스트 이름입니다.
예:
- userwin10
- www.altostrat.com

Noun.platform

용도: 플랫폼 운영체제입니다.
인코딩: 열거형
가능한 값:
- LINUX
- MAC
- WINDOWS
- UNKNOWN_PLATFORM

Noun.platform_patch_level

목적: 플랫폼 운영체제 패치 수준입니다.
인코딩: 구두점이 포함된 영숫자 문자열이며 최대 64자입니다.
예: 빌드 17134.48

Noun.platform_version

용도: 플랫폼 운영체제 버전입니다.
인코딩: 구두점이 포함된 영숫자 문자열이며 최대 64자입니다.
예: Microsoft Windows 10 버전 1803

Noun.process

용도: 상세한 프로세스 메타데이터입니다.
유형: 객체
프로세스 메타데이터 채우기를 참조하세요.

Noun.ip

목적:
- 네트워크 연결과 연결된 단일 IP 주소
- 이벤트가 발생한 시점에 참여자 기기와 연결된 IP 주소 한 개 이상(예: EDR 제품이 기기와 관련된 모든 IP 주소를 알고 있는 경우 모두 IP 필드 내에서 인코딩할 수 있음)
인코딩: ASCII로 인코딩된 유효한 IPv4 또는 IPv6 주소 (RFC 5942)입니다.
반복 가능성:
- 이벤트가 특정 네트워크 연결을 설명하는 경우(예: srcip:srcport > dstips:dstport) 공급업체는 IP 주소 하나만 제공해야 합니다.
- 이벤트가 참여자 기기에서 발생하는 일반적인 활동을 설명하지만 특정 네트워크 연결을 설명하지 않는 경우 공급업체에서 이벤트 발생 시점에 기기에 연결된 모든 IP 주소를 제공할 수 있습니다.
예:
- 192.168.1.2
- 2001:db8:1:3::1

Noun.port

용도: 이벤트 내에서 특정 네트워크 연결이 설명될 때 소스 또는 대상 네트워크 포트 번호입니다.
인코딩: 1~65,535 사이의 유효한 TCP/IP 포트 번호입니다.
예
- 80
- 443
참고: 포트 번호를 지정한 경우 동일한 명사에 IP 주소를 하나만 지정해야 합니다.

Noun.mac

용도: 기기와 연결된 하나 이상의 MAC 주소입니다.
인코딩: ASCII의 유효한 MAC 주소 (EUI-48)입니다.
반복성: 공급업체가 이벤트 발생 시점에 기기에 연결된 모든 MAC 주소를 제공할 수 있습니다.
예:
- fedc:ba98:7654:3210:fedc:ba98:7654:3210
- 1080:0:0:0:8:800:200c:417a
- 00:a0:0:0:c9:14:c8:29

Noun.administrative_domain

용도: 기기가 속한 도메인 (예: Windows 도메인)입니다.
인코딩: 유효한 도메인 이름 문자열이며 최대 128자입니다.
예: corp.altostrat.com

Noun.registry

목적: 상세한 레지스트리 메타데이터입니다.
유형: 객체
레지스트리 메타데이터 채우기를 참조하세요.

Noun.url

용도: 표준 URL
인코딩: URL (RFC 3986) 유효한 프로토콜 프리픽스가 있어야 합니다(예: https:// 또는 ftp://). 전체 도메인과 경로를 포함해야 합니다. URL 매개변수를 포함할 수 있습니다.
예: https&colon;//foo.altostrat.com/bletch?a=b;c=d

Noun.user

목적: 상세한 사용자 메타데이터입니다.
유형: 객체
사용자 메타데이터 채우기를 참조하세요.

인증 메타데이터 채우기

Authentication.AuthType

용도: 인증 이벤트가 연결된 시스템 유형 (Google Security Operations UDM)입니다.
인코딩: 열거형.
가능한 값:
- AUTHTYPE_UNSPECIFIED
- MACHINE—머신 인증
- PHYSICAL-물리적 인증(예: 배지 리더)
- SSO
- TACACS: 네트워크 시스템 인증을 위한 TACACS 계열 프로토콜(예: TACACS 또는 TACACS+)
- VPN

Authentication.Authentication_Status

목적: 사용자의 인증 상태 또는 특정 사용자 인증 정보를 설명합니다.
인코딩: 열거형.
가능한 값:
- UNKNOWN_AUTHENTICATION_STATUS—기본 인증 상태
- ACTIVE—인증 방법이 활성 상태임
- SUSPENDED—인증 방법이 정지 또는 사용 중지됨
- DELETED—인증 방법이 삭제됨
- NO_ACTIVE_CREDENTIALS—인증 방법에 활성 사용자 인증 정보 없음

Authentication.auth_details

목적: 공급업체 정의 인증 세부정보입니다.
인코딩: 문자열입니다.

Authentication.Mechanism

용도: 인증에 사용되는 메커니즘입니다.
인코딩: 열거형.
가능한 값:
- MECHANISM_UNSPECIFIED—기본 인증 메커니즘입니다.
- BADGE_READER
- BATCH—일괄 인증입니다.
- CACHED_INTERACTIVE—캐시된 사용자 인증 정보를 사용한 대화형 인증입니다.
- HARDWARE_KEY
- LOCAL
- MECHANISM_OTHER—여기에 정의되지 않은 다른 메커니즘입니다.
- NETWORK—네트워크 인증입니다.
- NETWORK_CLEAR_TEXT—네트워크 일반 텍스트 인증입니다.
- NEW_CREDENTIALS—새 사용자 인증 정보로 인증합니다.
- OTP
- REMOTE—원격 인증
- REMOTE_INTERACTIVE—RDP, 터미널 서비스, 가상 네트워크 컴퓨팅(VNC) 등
- SERVICE—서비스 인증
- UNLOCK—직접 대화형 잠금 해제 인증
- USERNAME_PASSWORD

DHCP 메타데이터 채우기

동적 호스트 제어 프로토콜(DHCP) 메타데이터 필드는 DHCP 네트워크 관리 프로토콜 로그 정보를 캡처합니다.

Dhcp.client_hostname

목적: 클라이언트의 호스트 이름입니다. 자세한 내용은 RFC 2132, DHCP 옵션 및 BOOTP 공급업체 확장 프로그램을 참조하세요.
인코딩: 문자열입니다.

Dhcp.client_identifier

목적: 클라이언트 식별자입니다. 자세한 내용은 RFC 2132, DHCP 옵션 및 BOOTP 공급업체 확장 프로그램을 참조하세요.
인코딩: 바이트

Dhcp.file

용도: 부팅 이미지의 파일 이름입니다.
인코딩: 문자열입니다.

Dhcp.flags

용도: DHCP 플래그 필드의 값입니다.
인코딩: 부호 없는 32비트 정수.

Dhcp.hlen

용도: 하드웨어 주소 길이입니다.
인코딩: 부호 없는 32비트 정수.

Dhcp.hops

용도: DHCP 홉 수입니다.
인코딩: 부호 없는 32비트 정수.

Dhcp.htype

용도: 하드웨어 주소 유형입니다.
인코딩: 부호 없는 32비트 정수.

Dhcp.lease_time_seconds

목적: IP 주소에서 클라이언트가 요청한 임대 시간(초)입니다. 자세한 내용은 RFC 2132, DHCP 옵션 및 BOOTP 공급업체 확장 프로그램을 참조하세요.
인코딩: 부호 없는 32비트 정수.

Dhcp.opcode

용도: BOOTP 명령 코드입니다 (RFC 951의 섹션 3 참조).
인코딩: 열거형.
가능한 값:
- UNKNOWN_OPCODE
- BOOTREQUEST
- BOOTREPLY

Dhcp.requested_address

목적: 클라이언트 식별자입니다. 자세한 내용은 RFC 2132, DHCP 옵션 및 BOOTP 공급업체 확장 프로그램을 참조하세요.
인코딩: ASCII로 인코딩된 유효한 IPv4 또는 IPv6 주소 (RFC 5942)입니다.

Dhcp.seconds

용도: 클라이언트가 주소 획득/갱신 프로세스를 시작한 후 경과된 시간(초)입니다.
인코딩: 부호 없는 32비트 정수.

Dhcp.sname

목적: 클라이언트가 부팅을 요청한 서버의 이름입니다.
인코딩: 문자열입니다.

Dhcp.transaction_id

목적: 클라이언트 트랜잭션 ID입니다.
인코딩: 부호 없는 32비트 정수.

Dhcp.type

용도: DHCP 메시지 유형입니다. 자세한 내용은 RFC 1533을 참조하세요.
인코딩: 열거형.
가능한 값:
- UNKNOWN_MESSAGE_TYPE
- DISCOVER
- 할인 혜택
- 요청
- 거부
- ACK
- NAK
- RELEASE
- INFORM
- WIN_DELECTED
- WIN_EXPIRED

Dhcp.chaddr

목적: 클라이언트 하드웨어의 IP 주소입니다.
인코딩: ASCII로 인코딩된 유효한 IPv4 또는 IPv6 주소 (RFC 5942)입니다.

Dhcp.ciaddr

목적: 클라이언트의 IP 주소입니다.
인코딩: ASCII로 인코딩된 유효한 IPv4 또는 IPv6 주소 (RFC 5942)입니다.

Dhcp.giaddr

용도: 릴레이 에이전트의 IP 주소입니다.
인코딩: ASCII로 인코딩된 유효한 IPv4 또는 IPv6 주소 (RFC 5942)입니다.

Dhcp.siaddr

용도: 다음 부트스트랩 서버의 IP 주소입니다.
인코딩: ASCII로 인코딩된 유효한 IPv4 또는 IPv6 주소 (RFC 5942)입니다.

Dhcp.yiaddr

용도: IP 주소입니다.
인코딩: ASCII로 인코딩된 유효한 IPv4 또는 IPv6 주소 (RFC 5942)입니다.

DHCP 옵션 메타데이터 채우기

DHCP 옵션 메타데이터 필드는 DHCP 옵션 로그 정보를 캡처합니다.

Option.code

용도: DHCP 옵션 코드를 저장합니다. 자세한 내용은 RFC 1533, DHCP 옵션 및 BOOTP 공급업체 확장 프로그램을 참조하세요.
인코딩: 부호 없는 32비트 정수.

Option.data

목적: DHCP 옵션 데이터를 저장합니다. 자세한 내용은 RFC 1533, DHCP 옵션 및 BOOTP 공급업체 확장 프로그램을 참조하세요.
인코딩: 바이트

DNS 메타데이터 채우기

DNS 메타데이터 필드는 DNS 요청 및 응답 패킷과 관련된 정보를 캡처합니다. DNS 요청과 응답 데이터그램에서 찾은 데이터와 일대일로 대응합니다.

Dns.authoritative

용도: 권한 DNS 서버의 경우 true로 설정합니다.
인코딩: 불리언.

Dns.id

용도: DNS 쿼리 식별자를 저장합니다.
인코딩: 32비트 정수.

Dns.response

용도: 이벤트가 DNS 응답인 경우 true로 설정합니다.
인코딩: 불리언.

Dns.opcode

용도: DNS 쿼리의 유형 (표준, 역, 서버 상태 등)을 지정하는 데 사용되는 DNS OpCode를 저장합니다.
인코딩: 32비트 정수.

Dns.recursion_available

용도: 재귀 DNS 조회가 요청되면 true로 설정합니다.
인코딩: 불리언.

Dns.recursion_desired

용도: 재귀 DNS 조회가 요청되면 true로 설정합니다.
인코딩: 불리언.

Dns.response_code

목적: RFC 1035, 도메인 이름 - 구현 및 사양에서 정의된 대로 DNS 응답 코드를 저장합니다.
인코딩: 32비트 정수.

Dns.truncated

용도: 잘린 DNS 응답인 경우 true로 설정합니다.
인코딩: 불리언.

Dns.questions

용도: 도메인 프로토콜 메시지 질문을 저장합니다. DNS 질문 메타데이터 채우기를 참조하세요.

Dns.answers

목적: 도메인 이름 쿼리에 대한 답변을 저장합니다. DNS 리소스 레코드 메타데이터 채우기를 참조하세요.

Dns.authority

목적: 도메인 이름 쿼리에 대한 답변을 확인한 도메인 네임서버를 저장합니다. DNS 리소스 레코드 메타데이터 채우기를 참조하세요.

Dns.additional

목적: 도메인에 대한 응답을 확인하는 데 사용할 수 있는 추가 도메인 네임서버를 저장합니다. DNS 리소스 레코드 메타데이터 채우기를 참조하세요.

DNS 질문 메타데이터 채우기

DNS 질문 메타데이터 필드는 도메인 프로토콜 메시지의 질문 섹션에 포함된 정보를 캡처합니다.

Question.name

목적: 도메인 이름을 저장합니다.
인코딩: 문자열입니다.

Question.class

용도: 쿼리의 클래스를 지정하는 코드를 저장합니다.
인코딩: 32비트 정수.

Question.type

용도: 쿼리 유형을 지정하는 코드를 저장합니다.
인코딩: 32비트 정수.

DNS 리소스 레코드 메타데이터 채우기

DNS 리소스 레코드 메타데이터 필드는 도메인 프로토콜 메시지의 리소스 레코드에 포함된 정보를 캡처합니다.

ResourceRecord.binary_data

목적: DNS 응답의 일부로 포함될 수 있는 UTF8 이외의 문자열의 원시 바이트를 저장합니다. DNS 서버에서 반환한 응답 데이터에 UTF8 이외 데이터가 포함된 경우에만 이 필드를 사용해야 합니다. 그렇지 않으면 DNS 응답을 아래의 데이터 필드에 배치합니다. 이러한 유형의 정보를 ResourceRecord.data가 아닌 여기에 저장해야 합니다.
인코딩: 바이트

참고: 이 필드는 RFC 1035에 지정되지 않았지만 (다른 DNS 리소스 레코드 필드와 다름) UDM의 Google SecOps에서 정의되었습니다.

ResourceRecord.class

용도: 리소스 레코드의 클래스를 지정하는 코드를 저장합니다.
인코딩: 32비트 정수.

ResourceRecord.data

목적: UTF-8 형식으로 인코딩된 모든 응답에 대한 페이로드 또는 DNS 질문에 대한 응답을 저장합니다. 예를 들어 데이터 필드는 도메인 이름에서 참조하는 머신의 IP 주소를 반환할 수 있습니다. 리소스 레코드가 다른 유형이나 클래스에 대한 경우 한 도메인 이름이 다른 도메인 이름으로 리디렉션되면 다른 도메인 이름이 포함될 수 있습니다. 데이터는 DNS 응답과 마찬가지로 저장되어야 합니다.
인코딩: 문자열입니다.

ResourceRecord.name

용도: 리소스 레코드 소유자의 이름을 저장합니다.
인코딩: 문자열입니다.

ResourceRecord.ttl

목적: 정보 소스를 다시 쿼리하기 전에 리소스 레코드를 캐시할 수 있는 시간 간격을 저장합니다.
인코딩: 32비트 정수.

ResourceRecord.type

용도: 리소스 레코드 유형을 지정하는 코드를 저장합니다.
인코딩: 32비트 정수.

이메일 메타데이터 채우기

대부분의 이메일 메타데이터 필드는 메일 헤더에 포함된 이메일 주소를 캡처하며 RFC 5322에 정의된 표준 이메일 주소 형식(local-mailbox@domain)을 따라야 합니다. 예: frank@email.example.com

Email.from

용도: from 이메일 주소를 저장합니다.
인코딩: 문자열입니다.

Email.reply_to

용도: reply_to 이메일 주소를 저장합니다.
인코딩: 문자열입니다.

Email.to

용도: to 이메일 주소를 저장합니다.
인코딩: 문자열입니다.

Email.cc

용도: cc 이메일 주소를 저장합니다.
인코딩: 문자열입니다.

Email.bcc

용도: bcc 이메일 주소를 저장합니다.
인코딩: 문자열입니다.

Email.mail_id

용도: 메일 (또는 메시지) ID를 저장합니다.
인코딩: 문자열입니다.
예: 192544.132632@email.example.com

Email.subject

용도: 이메일 제목을 저장합니다.
인코딩: 문자열입니다.
예: '이 메시지를 읽어 주세요.'

확장 프로그램 메타데이터 채우기

Google SecOps UDM에서 아직 분류하지 않은 최고 수준의 메타데이터가 있는 이벤트 유형입니다.

Extensions.auth

용도: 인증 메타데이터에 대한 확장 프로그램입니다.
인코딩: 문자열입니다.
예:
- 샌드박스 메타데이터(파일에 의해 표시되는 모든 동작. 예: FireEye).
- 네트워크 액세스 제어(NAC) 데이터.
- 사용자에 대한 LDAP 세부정보(예: 역할, 조직 등).

Extensions.auth.auth_details

목적: 인증 유형이나 메커니즘에 대한 공급업체별 세부정보를 지정합니다. 인증 제공업체에서 인증 유형에 대한 유용한 정보를 제공하는 via_mfa 또는 via_ad 등의 유형을 정의하는 경우가 많습니다. 이러한 유형은 여전히 사용성과 데이터 세트 간 규칙 호환성을 위해 auth.type 또는 auth.mechanism에서 일반화될 수 있습니다.
인코딩: 문자열입니다.
예: via_mfa, via_ad.

Extensions.vulns

용도: 취약점 메타데이터에 대한 확장 프로그램입니다.
인코딩: 문자열입니다.
예: 취약점 스캔 데이터를 호스팅합니다.

파일 메타데이터 채우기

File.file_metadata

용도: 파일과 관련된 메타데이터입니다.
인코딩: 문자열입니다.
예:
- 작성자
- 버전 번호
- 버전 번호
- 최종 저장일

File.full_path

용도: 시스템에서 파일의 위치를 식별하는 전체 경로입니다.
인코딩: 문자열입니다.
예: \Program Files\Custom Utilities\Test.exe

File.md5

용도: 파일의 MD5 해시 값입니다.
인코딩: 문자열, 소문자 16진수입니다.
예: 35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

용도: 파일의 다목적 인터넷 메일 확장 프로그램 (MIME) 유형입니다.
인코딩: 문자열입니다.
예:
- PE
- PDF
- powershell 스크립트

File.sha1

목적: 파일의 SHA-1 해시 값입니다.
인코딩: 문자열, 소문자 16진수입니다.
예: eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

용도: 파일의 SHA-256 해시 값입니다.
인코딩: 문자열, 소문자 16진수입니다.
예: d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

File.size

목적: 파일 크기입니다.
인코딩: 부호 없는 64비트 정수.
예: 342135

FTP 메타데이터 채우기

Ftp.command

용도: FTP 명령어를 저장합니다.
인코딩: 문자열입니다.
예:
- binary
- 삭제
- get
- put

그룹 메타데이터 채우기

조직 그룹에 대한 정보입니다.

Group.creation_time

목적: 그룹 생성 시간입니다.
인코딩: JSON 또는 Proto3 타임스탬프 형식에 적합한 RFC 3339입니다.

Group.email_addresses

목적: 그룹 연락처 정보입니다.
인코딩: 이메일

Group.group_display_name

목적: 그룹 표시 이름입니다.
인코딩: 문자열입니다.
예:
- 금융
- 인사 관리
- 마케팅

Group.product_object_id

목적: 제품의 전역적으로 고유한 사용자 객체 식별자(예: LDAP 객체 식별자)입니다.
인코딩: 문자열입니다.

Group.windows_sid

목적: Microsoft Windows 보안 식별자 (SID) 그룹 속성 필드입니다.
인코딩: 문자열입니다.

HTTP 메타데이터 채우기

Http.method

목적: HTTP 요청 메서드를 저장합니다.
인코딩: 문자열입니다.
예:
- GET
- HEAD
- POST

Http.referral_url

목적: HTTP 리퍼러의 URL을 저장합니다.
인코딩: 유효한 RFC 3986 URL입니다.
예: https://www.altostrat.com

Http.response_code

목적: 특정 HTTP 요청이 성공적으로 완료되었는지 여부를 나타내는 HTTP 응답 상태 코드를 저장합니다.
인코딩: 32비트 정수.
예:
- 400
- 404

Http.user_agent

목적: 요청하는 소프트웨어 사용자 에이전트의 애플리케이션 유형, 운영체제, 소프트웨어 공급업체 또는 소프트웨어 버전이 포함된 사용자 에이전트 요청 헤더를 저장합니다.
인코딩: 문자열입니다.
예:
- Mozilla/5.0(X11; Linux x86_64)
- AppleWebKit/534.26(KHTML, Gecko 등)
- Chrome/41.0.2217.0
- Safari/527.33

위치 메타데이터 채우기

Location.city

용도: 도시 이름을 저장합니다.
인코딩: 문자열입니다.
예:
- 서니베일
- 시카고
- 말라가

Location.country_or_region

용도: 전 세계 국가 또는 지역의 이름을 저장합니다.
인코딩: 문자열입니다.
예:
- 미국
- 영국
- 스페인

Location.name

용도: 건물이나 캠퍼스와 같은 기업의 고유 이름을 저장합니다.
인코딩: 문자열입니다.
예:
- 캠퍼스 7B
- 빌딩 A2

Location.state

용도: 주, 도 또는 지역의 이름을 저장합니다.
인코딩: 문자열입니다.
예:
- 캘리포니아
- 일리노이
- 온타리오

네트워크 메타데이터 채우기

Network.application_protocol

목적: 네트워크 애플리케이션 프로토콜을 나타냅니다.
인코딩: 열거형.
가능한 값:
- UNKNOWN_APPLICATION_PROTOCOL
- AFP
- APPC
- AMQP
- ATOM
- BEEP
- BITCOIN
- BIT_TORRENT
- CFDP
- CIP
- COAP
- COTP
- DCERPC
- DDS
- DEVICE_NET
- DHCP
- DICOM
- DNP3
- DNS
- E_DONKEY
- ENRP
- FAST_TRACK
- FINGER
- FREENET
- FTAM
- GOOSE
- GOPHER
- GRPC
- HL7
- H323
- HTTP
- HTTPS
- IEC104
- IRCP
- KADEMLIA
- KRB5
- LDAP
- LPD
- MIME
- MMS
- MODBUS
- MQTT
- NETCONF
- NFS
- NIS
- NNTP
- NTCIP
- NTP
- OSCAR
- PNRP
- PTP
- QUIC
- RDP
- RELP
- RIP
- RLOGIN
- RPC
- RTMP
- RTP : 실시간 전송 프로토콜
- RTPS
- RTSP
- SAP
- SDP
- SIP
- SLP
- SMB
- SMTP
- SNMP
- SNTP
- SSH
- SSMS
- STYX
- SV
- TCAP
- TDS
- TOR
- TSP
- VTP
- WHOIS
- WEB_DAV
- X400
- X500
- XMPP

Network.direction

용도: 네트워크 트래픽의 방향을 나타냅니다.
인코딩: 열거형.
가능한 값:
- UNKNOWN_DIRECTION
- INBOUND
- OUTBOUND
- BROADCAST

Network.email

용도: 발신자/수신자의 이메일 주소를 지정합니다.
인코딩: 문자열입니다.
예: jcheng@company.example.com

Network.ip_protocol

용도: IP 프로토콜을 나타냅니다.
인코딩: 열거형.
가능한 값:
- UNKNOWN_IP_PROTOCOL
- EIGRP—향상된 내부 게이트웨이 라우팅 프로토콜
- ESP—보안 페이로드 캡슐화
- ETHERIP—이더넷 내부 IP 캡슐화
- GRE—일반 라우팅 캡슐화
- ICMP—인터넷 제어 메시지 프로토콜
- IGMP—인터넷 그룹 관리 프로토콜
- IP6IN4—IPv6 캡슐화
- PIM—프로토콜 독립 멀티캐스트
- TCP—전송 제어 프로토콜
- UDP—사용자 데이터그램 프로토콜
- VRRP—가상 라우터 중복 프로토콜

Network.received_bytes

용도: 수신된 바이트 수를 지정합니다.
인코딩: 부호 없는 64비트 정수.
예: 12,453,654,768

Network.sent_bytes

목적: 전송된 바이트 수를 지정합니다.
인코딩: 부호 없는 64비트 정수.
예: 7,654,876

Network.session_duration

용도: 일반적으로 세션의 드롭 이벤트에 반환되는 네트워크 세션 기간을 저장합니다. 기간을 설정하려면 network.session_duration.seconds = 1,(유형 int64) 또는 network.session_duration.nanos = 1(유형 int32)을 설정합니다.
인코딩:
- 32비트 정수 - 초(network.session_duration.seconds)입니다.
- 64비트 정수 - 나노초(network.session_duration.nanos)입니다.

Network.session_id

용도: 네트워크 세션 식별자를 저장합니다.
인코딩: 문자열입니다.
예: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

프로세스 메타데이터 채우기

Process.command_line

용도: 프로세스의 명령줄 문자열을 저장합니다.
인코딩: 문자열입니다.
예: c:\windows\system32\net.exe 그룹

Process.product_specific_process_id

용도: 제품별 프로세스 ID를 저장합니다.
인코딩: 문자열입니다.
예시: MySQL:78778 또는 CS:90512

Process.parent_process.product_specific_process_id

용도: 상위 프로세스의 제품별 프로세스 ID를 저장합니다.
인코딩: 문자열입니다.
예시: MySQL:78778 또는 CS:90512

Process.file

용도: 프로세스에서 사용 중인 파일의 파일 이름을 저장합니다.
인코딩: 문자열입니다.
예: report.xls

Process.parent_process

용도: 상위 프로세스의 세부정보를 저장합니다.
인코딩: 명사 (프로세스)

Process.pid

용도: 프로세스 ID를 저장합니다.
인코딩: 문자열입니다.
예:
- 308
- 2002

레지스트리 메타데이터 채우기

Registry.registry_key

목적: 애플리케이션 또는 시스템 구성요소와 연결된 레지스트리 키를 저장합니다.
인코딩: 문자열입니다.
예: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

용도: 애플리케이션 또는 시스템 구성요소와 연결된 레지스트리 값의 이름을 저장합니다.
인코딩: 문자열입니다.
예: TEMP

Registry.registry_value_data

용도: 레지스트리 값과 연결된 데이터를 저장합니다.
인코딩: 문자열입니다.
예: %USERPROFILE%\Local Settings\Temp

보안 결과 메타데이터 채우기

보안 결과 메타데이터에는 보안 시스템에서 발견한 보안 위험과 위협에 대한 세부정보와 이러한 위험과 위협을 완화할 수 있는 조치가 포함됩니다.

SecurityResult.about

용도: 보안 결과에 대한 설명을 제공합니다.
인코딩: 명사.

SecurityResult.action

용도: 보안 작업을 지정합니다.
인코딩: 열거형.
가능한 값: Google SecOps UDM은 다음 보안 작업을 정의합니다.
- 허용
- ALLOW_WITH_MODIFICATION—파일 또는 이메일이 치료 또는 재작성되었으며 계속 전달되었습니다.
- 차단
- QUARANTINE—나중 분석을 위해 저장합니다(블록을 의미하지 않음).
- UNKNOWN_ACTION

SecurityResult.action_details

용도: 보안 사고로 인해 공급업체에서 제공한 작업에 대한 세부정보입니다. 보안 작업에서 더 일반적인 Security_Result.action UDM 필드로 변환되는 경우가 많습니다. 하지만 공급업체에서 제공한 정확한 작업 설명에 대한 규칙을 작성해야 할 수 있습니다.
인코딩: 문자열입니다.
예: 삭제, 차단, 복호화, 암호화

SecurityResult.category

용도: 보안 카테고리를 지정합니다.
인코딩: 열거형
가능한 값: Google SecOps UDM은 다음 보안 카테고리를 정의합니다.
- ACL_VIOLATION—파일, 웹 서비스, 프로세스, 웹 객체 등에 대한 액세스 시도를 비롯하여 무단 액세스 시도
- AUTH_VIOLATION: 잘못된 비밀번호 또는 잘못된 2단계 인증과 같은 인증 실패
- DATA_AT_REST—DLP: 스캔 중에 저장된 센서 데이터
- DATA_DESTRUCTION—데이터 소멸/삭제를 시도합니다.
- DATA_EXFILTRATION—DLP: 센서 데이터 전송이며 USB 드라이브에 복사됩니다.
- EXPLOIT— 네트워크 및 호스트 기반의 오버플로 시도, 잘못된 프로토콜 인코딩, ROP, SQL 삽입 등
- MAIL_PHISHING—피싱 이메일, 채팅 메시지 등
- MAIL_SPAM—스팸 이메일, 메시지 등
- MAIL_SPOOFING—스푸핑된 소스 이메일 주소 등
- NETWORK_CATEGORIZED_CONTENT
- NETWORK_COMMAND_AND_CONTROL—명령어 및 제어 채널이 알려진 경우.
- NETWORK_DENIAL_OF_SERVICE
- NETWORK_MALICIOUS—명령어 및 제어, 네트워크 익스플로잇, 의심스러운 활동, 잠재적인 역방향 터널 등
- NETWORK_SUSPICIOUS—보안과 관련 없음(예: 도박과 연결된 URL 등)
- NETWORK_RECON—IDS에서 포트 스캔을 감지하고 웹 애플리케이션에서 프로브합니다.
- POLICY_VIOLATION: 방화벽, 프록시, HIPS 규칙 위반 또는 NAC 차단 작업을 포함한 보안 정책 위반
- SOFTWARE_MALICIOUS—멀웨어, 스파이웨어, 루트킷 등
- SOFTWARE_PUA - 애드웨어 등과 같이 잠재적으로 원치 않는 앱
- SOFTWARE_SUSPICIOUS
- UNKNOWN_CATEGORY

SecurityResult.confidence

용도: 제품에서 예측되는 보안 이벤트와 관련된 신뢰도를 지정합니다.
인코딩: 열거형
가능한 값: Google SecOps UDM은 다음 제품 신뢰도 카테고리를 정의합니다.
- UNKNOWN_CONFIDENCE
- LOW_CONFIDENCE
- MEDIUM_CONFIDENCE
- HIGH_CONFIDENCE

SecurityResult.confidence_details

용도: 제품 공급업체에서 예측한 보안 이벤트의 신뢰도와 관련된 추가 세부정보입니다.
인코딩: 문자열입니다.

SecurityResult.priority

용도: 제품 공급업체에서 예측한 보안 이벤트와 관련된 우선순위를 지정합니다.
인코딩: 열거형
가능한 값: Google SecOps UDM은 다음 제품 우선순위 카테고리를 정의합니다.
- UNKNOWN_PRIORITY
- LOW_PRIORITY
- MEDIUM_PRIORITY
- HIGH_PRIORITY

SecurityResult.priority_details

용도: 보안 결과 우선순위에 대한 공급업체별 정보입니다.
인코딩: 문자열입니다.

SecurityResult.rule_id

용도: 보안 규칙의 식별자입니다.
인코딩: 문자열입니다.
예:
- 08123
- 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

용도: 보안 규칙의 이름입니다.
인코딩: 문자열입니다.
예: BlockInboundToOracle

SecurityResult.severity

용도: Google SecOps UDM에서 정의한 값을 사용하여 제품 공급업체에서 예측한 보안 관련 활동의 심각도입니다.
인코딩: 열거형
가능한 값: Google SecOps UDM은 다음 제품 심각도를 정의합니다.
- UNKNOWN_SEVERITY—비악성
- INFORMATIONAL—비악성
- ERROR—비악성
- LOW—악성
- MEDIUM—악성
- HIGH—악성

SecurityResult.severity_details

용도: 제품 공급업체에서 예측한 보안 이벤트의 심각도입니다.
인코딩: 문자열입니다.

SecurityResult.threat_name

용도: 보안 위협의 이름입니다.
인코딩: 문자열입니다.
예:
- W32/File-A
- Slammer

SecurityResult.url_back_to_product

용도: 이 보안 이벤트의 소스 제품 콘솔로 연결되는 URL입니다.
인코딩: 문자열입니다.

사용자 메타데이터 채우기

User.email_addresses

용도: 사용자의 이메일 주소를 저장합니다.
인코딩: 반복되는 문자열.
예: johnlocke@company.example.com

User.employee_id

용도: 사용자의 인사 관리 직원 ID를 저장합니다.
인코딩: 문자열입니다.
예: 11223344.

User.first_name

용도: 사용자의 이름을 저장합니다.
인코딩: 문자열입니다.
예: John.

User.middle_name

용도: 사용자의 중간 이름을 저장합니다.
인코딩: 문자열입니다.
예: Anthony.

User.last_name

용도: 사용자의 성을 저장합니다.
인코딩: 문자열입니다.
예: Locke.

User.group_identifiers

용도: 사용자와 연결된 그룹 ID(GUID, LDAP OID 등)를 저장합니다.
인코딩: 반복되는 문자열.
예: admin-users.

User.phone_numbers

용도: 사용자의 전화번호를 저장합니다.
인코딩: 반복되는 문자열.
예: 800-555-0101

User.title

용도: 사용자의 직무를 저장합니다.
인코딩: 문자열입니다.
예: 고객 관계 관리자

User.user_display_name

용도: 사용자의 표시 이름을 저장합니다.
인코딩: 문자열입니다.
예: John Locke.

User.userid

용도: 사용자 ID를 저장합니다.
인코딩: 문자열입니다.
예: jlocke.

User.windows_sid

용도: 사용자와 연결된 Microsoft Windows 보안 식별자 (SID)를 저장합니다.
인코딩: 문자열입니다.
예: S-1-5-21-1180649209-123456789-3582944384-1064

취약점 메타데이터 채우기

Vulnerability.about

용도: 취약점이 특정 명사 (예: 실행 파일)에 관한 것이면 여기에 추가합니다.
인코딩: 명사. Noun 메타데이터 채우기를 참조하세요.
예: 실행 파일

Vulnerability.cvss_base_score

용도: 공통 취약점 점수 산출 시스템 (CVSS)의 기본 점수입니다.
인코딩: 부동 소수점.
범위: 0.0~10.0
예: 8.5

Vulnerability.cvss_vector

용도: 취약점의 CVSS 속성에 대한 벡터입니다. CVSS 점수는 다음 측정항목으로 구성됩니다.
- 공격 벡터(AV)
- 액세스 복잡성(AC)
- 인증(Au)
- 기밀 유지 영향(C)
- 무결성 영향(I)
- 가용성 영향(A)
자세한 내용은 https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator를 참조하세요.
인코딩: 문자열입니다.
예: AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

목적: 취약점 점수 또는 벡터에 대한 CVSS 버전입니다.
인코딩: 문자열입니다.
예: 3.1

Vulnerability.description

용도: 취약점에 대한 설명입니다.
인코딩: 문자열입니다.

Vulnerability.first_found

용도: 취약점 스캔 기록을 유지하는 제품은 이 애셋의 취약점이 처음 감지된 시간으로 first_found를 채워야 합니다.
인코딩: 문자열입니다.

Vulnerability.last_found

용도: 취약점 스캔 기록을 유지하는 제품이 이 애셋의 취약점이 가장 최근에 감지된 시간으로 last_found를 채워야 합니다.
인코딩: 문자열입니다.

Vulnerability.name

용도: 취약점의 이름입니다.
인코딩: 문자열입니다.
예: 지원되지 않는 OS 버전이 감지되었습니다.

Vulnerability.scan_end_time

용도: 애셋 스캔 중에 취약점이 발견된 경우 이 필드를 스캔이 종료된 시간으로 채웁니다. 종료 시간을 사용할 수 없거나 적용할 수 없는 경우 이 필드를 비워 둡니다.
인코딩: 문자열입니다.

Vulnerability.scan_start_time

용도: 애셋 스캔 중에 취약점이 발견된 경우 스캔을 시작한 시간으로 이 필드를 채웁니다. 시작 시간을 사용할 수 없거나 적용할 수 없는 경우 이 필드를 비워 둡니다.
인코딩: 문자열입니다.

Vulnerability.severity

용도: 취약점의 심각도입니다.
인코딩: 열거형.
가능한 값:
- UNKNOWN_SEVERITY
- 낮음
- 중간
- 높음

Vulnerability.severity_details

용도: 공급업체별 심각도 세부정보입니다.
인코딩: 문자열입니다.

알림 메타데이터 채우기

idm.is_significant

목적: Enterprise Insights에 알림을 표시할지 여부를 지정합니다.
인코딩: 불리언.

idm.is_alert

목적: 이벤트가 알림인지 여부를 식별합니다.
인코딩: 불리언.

이벤트 유형별 필수 필드와 선택적 필드

이 섹션에서는 각 UDM 이벤트 유형에 대해 입력해야 하는 필수 필드와 선택적 필드를 설명합니다.

특정 UDM 필드 (예: enum 번호)에 관한 자세한 내용은 통합 데이터 모델 필드 목록을 참고하세요.

EMAIL_TRANSACTION

필수 필드:

metadata: 필수 필드를 포함합니다.
principal: 이메일 메시지가 시작된 머신에 대한 정보 (예: 발신자의 IP 주소)로 채워집니다.

선택적 필드:

about: 이메일 본문에 포함된 URL, IP, 도메인 및 모든 첨부 파일입니다.
securityResult.about: 이메일 본문에 포함된 잘못된 URL, IP, 파일입니다.
network.email: 이메일 발신자 또는 수신자 정보입니다.
principal: 이메일을 전송한 사용자에 대한 클라이언트 머신 데이터가 있으면 클라이언트 프로세스, 포트 번호, 사용자 이름과 같은 서버 세부정보를 principal에 입력합니다.
target: 대상 이메일 서버 데이터가 있으면 IP 주소와 같은 서버 세부정보를 target에 입력합니다.
intermediary: 메일 서버 데이터 또는 메일 프록시 데이터가 있으면 서버 세부정보를 intermediary에 입력합니다.

참고:

principal.email 또는 target.email은 입력하지 마세요.
security_result.about 또는 network.email에만 이메일을 입력하세요.
최상위 보안 결과는 일반적으로 명사 집합이 있습니다(스팸 선택사항).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ, FILE_OPEN

필수 필드:

metadata: 필수 필드를 포함합니다.
principal:
- 1개 이상의 머신 식별자입니다.
- (선택사항) 파일에 액세스하는 프로세스에 대한 정보를 principal.process에 입력합니다.
target:
- 파일이 원격이면(예: SMB 공유) 대상 머신에 대한 하나 이상의 머신 식별자가 대상에 포함되어야 합니다. 그렇지 않으면 모든 머신 식별자가 비어 있어야 합니다.
- target.file에 파일에 대한 정보를 입력합니다.

선택적 필드:

security_result: 감지된 악성 활동을 설명합니다.
principal.user: 프로세스에 대해 사용 가능한 사용자 정보가 있으면 입력합니다.

FILE_COPY

필수 필드:

metadata: 설명된 대로 필수 필드를 포함합니다.
principal:
- 1개 이상의 머신 식별자입니다.
- (선택사항) principal.process에 파일 복사 작업을 수행하는 프로세스에 대한 정보를 입력합니다.
src:
- src.file에 소스 파일에 대한 정보를 입력합니다.
- 파일이 원격이면(예: SMB 공유) src에 소스 파일을 저장하는 소스 머신에 대한 머신 식별자가 하나 이상 포함되어야 합니다.
target:
- target.file에 대상 파일에 대한 정보를 입력합니다.
- 파일이 원격이면(예: SMB 공유) target 필드에 대상 파일이 저장된 대상 머신에 대해 머신 식별자가 하나 이상 포함되어야 합니다.

선택적 필드:

security_result: 감지된 악성 활동을 설명합니다.
principal.user: 프로세스에 대해 사용 가능한 사용자 정보가 있으면 입력합니다.

MUTEX_CREATION

필수 필드:

metadata: 필수 필드를 포함합니다.
principal:
- 1개 이상의 머신 식별자입니다.
- principal.process에 뮤텍스를 만드는 프로세스에 대한 정보를 입력합니다.
target:
- target.resource에 입력합니다.
- target.resource.type에 MUTEX를 입력합니다.
- target.resource.name에 생성된 뮤텍스 이름을 입력합니다.

선택적 필드:

security_result: 감지된 악성 활동을 설명합니다.
principal.user: 프로세스에 대해 사용 가능한 사용자 정보가 있으면 입력합니다.

MUTEX_CREATION의 UDM 예시

다음 예시에서는 MUTEX_CREATION 유형의 이벤트 형식이 Google SecOps UDM에 맞게 지정되는 방식을 보여줍니다.

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

metadata: 이벤트에 대한 백그라운드 정보입니다.
principal: 기기 및 프로세스 세부정보입니다.
target: 뮤텍스에 대한 정보입니다.

NETWORK_CONNECTION

필수 필드:

metadata: event_timestamp
principal: 네트워크 연결을 시작한 머신에 대한 세부정보를 포함합니다(예: 소스).
target: principal 머신과 다른 경우 target 머신에 대한 세부정보를 포함합니다.
network: 네트워크 연결에 대한 세부정보를 캡처합니다(포트, 프로토콜 등).

선택적 필드:

principal.process 및 target.process: 네트워크 연결의 principal 및 target과 연관된 프로세스 정보를 포함합니다(사용 가능한 경우).
principal.user 및 target.user: 네트워크 연결의 principal 및 target과 연관된 사용자 정보를 포함합니다(사용 가능한 경우).

NETWORK_HTTP

NETWORK_HTTP 이벤트 유형은 principal에서 target 웹 서버로의 HTTP 네트워크 연결을 나타냅니다.

필수 필드:

metadata: 필수 필드를 포함합니다.
principal: 웹 요청을 시작한 클라이언트를 나타내며, 하나 이상의 머신 식별자(예: 호스트 이름, IP, MAC, 고유 애셋 식별자) 또는 사용자 식별자(예: 사용자 이름)를 포함합니다. 특정 네트워크 연결이 기술되어 있고 클라이언트 포트 번호를 사용할 수 있으면, 네트워크 연결과 관련된 포트 번호와 함께 하나의 IP 주소만 지정해야 합니다. 참여 기기를 더 효과적으로 기술하기 위해 다른 머신 식별자를 제공할 수도 있습니다. 소스 포트를 사용할 수 없으면 principal 기기를 기술하는 임의의 그리고 모든 IP 및 MAC 주소, 애셋 식별자, 호스트 이름 값을 지정할 수 있습니다.
target: 웹 서버를 나타내며 기기 정보 및 선택적으로 포트 번호를 포함합니다. 대상 포트 번호를 사용할 수 있으면 해당 네트워크 연결과 연관된 포트 번호와 함께 하나의 IP 주소만 지정하세요. 대상에 대해 다른 머신 식별자는 여러 개 제공할 수 있습니다. target.url에 대해 액세스되는 URL을 입력합니다.
network 및 network.http: HTTP 네트워크 연결에 대한 세부정보를 포함합니다. 다음 필드를 입력해야 합니다.
- network.ip_protocol
- network.application_protocol
- network.http.method

선택적 필드:

about: HTTP 트랜잭션에서 발견된 다른 항목을 나타냅니다(예: 업로드되었거나 다운로드된 파일).
intermediary: 프록시 서버를 나타냅니다(principal 또는 target과 다른 경우).
metadata: 다른 메타데이터 필드를 입력합니다.
network: 다른 네트워크 필드를 입력합니다.
network.email: HTTP 네트워크 연결이 이메일 메시지에 표시된 URL로부터 시작된 경우 network.email에 해당 세부정보를 입력합니다.
observer: 수동 스니퍼를 나타냅니다(있는 경우).
security_result: 감지된 악성 활동을 나타내기 위해 security_result 필드에 하나 이상의 항목을 추가합니다.

NETWORK_HTTP의 UDM 예시

다음 예시에서는 NETWORK_HTTP 유형의 Sophos 바이러스 백신 이벤트가 Google SecOps UDM 형식으로 변환되는 방식을 보여줍니다.

다음은 원래 Sophos 안티바이러스 이벤트입니다.

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Google SecOps UDM 구문을 사용하여 Proto3에서 동일한 정보의 형식을 지정하는 방법은 다음과 같습니다.

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Google Security Operations-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

metadata: 이벤트에 대한 백그라운드 정보입니다.
principal: 이벤트를 감지한 보안 기기입니다.
target: 악성 소프트웨어가 수신된 기기입니다.
network: 악성 호스트에 대한 네트워크 정보입니다.
security_result: 악성 소프트웨어에 대한 보안 세부정보입니다.
additional: UDM 범위 밖에 있는 공급업체 정보입니다.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

필수 필드:

metadata: 필수 필드를 포함합니다.
principal:
- 1개 이상의 머신 식별자입니다.
- 프로세스 삽입 및 프로세스 종료 이벤트의 경우 가능하면 principal.process에 작업을 시작한 프로세스에 대한 정보가 포함되어야 하고(예: 프로세스 시작 이벤트 정보), principal.process에 상위 프로세스에 대한 세부정보가 포함되어야 합니다(사용 가능한 경우).
target:
- target.process: 삽입, 열기, 시작, 종료 중인 프로세스에 대한 정보를 포함합니다.
- 대상 프로세스가 원격이면 대상에 대상 머신에 대해 하나 이상의 머신 식별자가 포함되어야 합니다(예: IP 주소, MAC, 호스트 이름, 타사 애셋 식별자).

선택적 필드:

security_result: 감지된 악성 활동을 설명합니다.
principal.user 및 target.user: 사용자 정보를 사용 가능한 경우 시작 프로세스(principal) 및 대상 프로세스를 입력합니다.

PROCESS_LAUNCH의 UDM 예시

다음 예시에서는 Google SecOps UDM 구문을 사용하여 PROCESS_LAUNCH 이벤트 형식을 지정하는 방법을 보여줍니다.

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

metadata: 이벤트에 대한 백그라운드 정보입니다.
principal: 기기 세부정보입니다.
target: 프로세스 세부정보입니다.

PROCESS_MODULE_LOAD

필수 필드:

metadata: 필수 필드를 포함합니다.
principal:
- 1개 이상의 머신 식별자입니다.
- principal.process: 모듈을 로드하는 프로세스입니다.
target:
- target.process: 프로세스에 대한 정보를 포함합니다.
- target.process.file: 로드된 모듈입니다(예: DLL 또는 공유 객체).

선택적 필드:

security_result: 감지된 악성 활동을 설명합니다.
principal.user: 프로세스에 대해 사용 가능한 사용자 정보가 있으면 입력합니다.

PROCESS_MODULE_LOAD의 UDM 예시

다음 예시에서는 Google SecOps UDM 구문을 사용하여 PROCESS_MODULE_LOAD 이벤트 형식을 지정하는 방법을 보여줍니다.

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

metadata: 이벤트에 대한 백그라운드 정보입니다.
principal: 기기 및 모듈을 로드하는 프로세스에 대한 세부정보입니다.
target: 프로세스 및 모듈 세부정보입니다.

PROCESS_PRIVILEGE_ESCALATION

필수 필드:

metadata: 필수 필드를 포함합니다.
principal:
- 1개 이상의 머신 식별자입니다.
- principal.process: 모듈을 로드하는 프로세스입니다.
- principal.user: 모듈을 로드하는 사용자입니다.

선택적 필드:

security_result: 감지된 악성 활동을 설명합니다.

PROCESS_PRIVILEGE_ESCALATION의 UDM 예시

다음 예시에서는 Google SecOps UDM 구문을 사용하여 PROCESS_PRIVILEGE_ESCALATION 이벤트 형식을 지정하는 방법을 보여줍니다.

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

metadata: 이벤트에 대한 백그라운드 정보입니다.
principal: 기기, 사용자, 모듈을 로드하는 프로세스에 대한 세부정보입니다.
target: 프로세스 및 모듈 세부정보입니다.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

필수 필드:

metadata: 필수 필드를 포함합니다.
principal:
- 1개 이상의 머신 식별자입니다.
- 사용자 모드 프로세스가 레지스트리 수정을 수행하는 경우 principal.process는 레지스트리를 수정하는 프로세스에 대한 정보를 포함해야 합니다.
- 커널 프로세스가 레지스트리 수정을 수행할 경우 principal은 프로세스 정보를 포함하지 않아야 합니다.
target:
- target.registry: 대상 레지스트리가 원격이면 대상에 대상 머신에 대해 하나 이상의 식별자가 포함되어야 합니다(예: IP 주소, MAC, 호스트 이름, 타사 애셋 식별자).
- target.registry.registry_key: 모든 레지스트리 이벤트는 영향을 받는 레지스트리 키를 포함해야 합니다.

선택적 필드:

security_result: 감지된 악성 활동을 설명합니다. 예를 들어 레지스트리 키가 잘못되었을 수 있습니다.
principal.user: 프로세스에 대해 사용 가능한 사용자 정보가 있으면 입력합니다.

REGISTRY_MODIFICATION의 UDM 예시

다음 예시에서는 Google SecOps UDM 구문을 사용하여 Proto3에서 REGISTRY_MODIFICATION 이벤트 형식을 지정하는 방법을 보여줍니다.

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

metadata: 이벤트에 대한 백그라운드 정보입니다.
principal: 기기, 사용자, 프로세스 세부정보입니다.
target: 수정으로 영향을 받는 레지스트리 항목입니다.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

필수 필드:

metadata: event_timestamp 및 이벤트에 관한 배경 정보입니다.
observer: 스캐너 자체에 대해 정보를 캡처합니다. 스캐너가 원격이면 관찰자 필드로 머신 세부정보를 캡처해야 합니다. 로컬 스캐너의 경우 비워둡니다.
target: 스캔 중인 객체를 저장하는 머신에 대한 정보를 캡처합니다. 파일을 스캔하는 경우 target.file이 스캔한 파일에 대한 정보를 캡처해야 합니다. 프로세스를 스캔하는 경우에는 target.process가 스캔한 프로세스에 대한 정보를 캡처해야 합니다.
extensions: SCAN_VULN_HOST 및 SCAN_VULN_NETWORK의 경우 extensions.vuln 필드를 사용하여 취약점을 정의합니다.

선택적 필드:

principal: 연결을 시작한 기기를 나타내며, 하나 이상의 머신 식별자 (예: 호스트 이름, IP 주소, MAC 주소, 고유 애셋 식별자) 또는 사용자 식별자를 포함합니다.
target: 대상 객체에 대한 사용자 세부정보(예: 파일 생성자 또는 프로세스 소유자)를 target.user에서 캡처해야 합니다.
security_result: 감지된 악성 활동을 설명합니다.

SCAN_HOST의 UDM 예시

다음 예시에서는 SCAN_HOST 유형의 이벤트 형식이 Google SecOps UDM에 맞게 지정되는 방식을 보여줍니다.

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200.200"
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

metadata: 이벤트에 대한 백그라운드 정보입니다.
target: 악성 소프트웨어가 수신된 기기입니다.
observer: 문제의 이벤트를 관찰하고 보고하는 기기입니다.
security_result: 악성 소프트웨어에 대한 보안 세부정보입니다.

SCAN_VULN_HOST의 UDM 예시

다음 예시에서는 SCAN_VULN_HOST 유형의 이벤트 형식이 Google SecOps UDM에 맞게 지정되는 방식을 보여줍니다.

metadata: {
  event_timestamp: "2025-05-09T12:59:52.45298Z",
  event_type: 18005,
  product_name: "TestProduct",
  vendor_name: "TestVendor"
  },
principal {
  asset_id: "TEST:Mwl8ABcd",
  ip: "127.0.0.3",
  hostname: "TEST-Localhost",
  mac: ["02:00:00:00:00:01"]
  },
extensions: {
  vulns: {
    vulnerabilities: [
      {
      cve_id: "CVE-6l9VxQmz",
      vendor_vulnerability_id: "TEST:7gmCmFWX",
      name: "CVE pA7DzwPU",
      severity: 2,
      vendor: "TestVendor",
      last_found: "2025-05-09T14:59:52.45300Z",
      first_found: "2025-05-09T13:59:52.45300Z"
       }
      ]
    }
  }

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

metadata: 이벤트에 대한 백그라운드 정보입니다.
principal: 악성 소프트웨어를 수신한 기기입니다.
확장 프로그램: 취약점 세부정보

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

필수 필드:

principal: 모든 SCHEDULED_TASK 이벤트에 대해 principal은 머신 식별자와 사용자 식별자를 포함해야 합니다.
target: 대상은 유효한 리소스 및 'TASK'로 정의된 리소스 유형을 포함해야 합니다.

선택적 필드:

security_result: 감지된 악성 활동을 설명합니다.

SCHEDULED_TASK_CREATION의 UDM 예시

다음 예시에서는 SCHEDULED_TASK_CREATION 유형의 이벤트 형식이 Google SecOps UDM에 맞게 지정되는 방식을 보여줍니다.

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

metadata: 이벤트에 대한 백그라운드 정보입니다.
principal: 의심스러운 태스크를 예약한 기기입니다.
target: 의심스러운 태스크의 대상으로 지정된 소프트웨어입니다.
intermediary: 의심스러운 태스크와 관련된 중개자입니다.
security_result: 의심스러운 태스크에 대한 보안 세부정보입니다.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

필수 필드:

principal: 비어 있지 않고 존재해야 하며 머신 식별자를 포함해야 합니다.
target: 비어 있지 않고 존재해야 하며 SETTING으로 지정된 유형의 리소스를 포함해야 합니다.

이벤트 유형 SETTING_MODIFICATION의 UDM 예시

다음 예시에서는 SETTING_MODIFICATION 유형 이벤트 형식이 Google SecOps UDM에 맞게 지정되는 방식을 보여줍니다.

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

metadata: 이벤트에 대한 백그라운드 정보입니다.
principal: 설정이 수정된 기기에 대한 정보입니다.
target: 리소스 세부정보입니다.

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

필수 필드:

target: 사용자 식별자를 포함하고 프로세스나 애플리케이션을 지정합니다.
principal: 머신 식별자를 최소 하나 이상 포함합니다(IP 또는 MAC 주소, 호스트 이름 또는 애셋 식별자).

SERVICE_UNSPECIFIED의 UDM 예시

다음 예시에서는 SERVICE_UNSPECIFIED 유형 이벤트 형식이 Google SecOps UDM에 맞게 지정되는 방식을 보여줍니다.

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

metadata: 이벤트에 대한 백그라운드 정보입니다.
principal: 기기 및 위치 세부정보입니다.
target: 호스트 이름 및 사용자 식별자입니다.
application: 애플리케이션 이름과 리소스 유형입니다.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

필수 필드:

metadata: 필수 필드를 포함합니다.
principal: 하나 이상의 머신 식별자입니다(IP 또는 MAC ADDRESS, 호스트 이름, 애셋 식별자).

STATUS_HEARTBEAT의 UDM 예시

다음 예시에서는 STATUS_HEARTBEAT 유형의 이벤트 형식이 Google SecOps UDM에 맞게 지정되는 방식을 보여줍니다.

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

metadata: 이벤트에 대한 백그라운드 정보입니다.
principal: 기기 및 위치 세부정보입니다.
intermediary: 기기 IP 주소입니다.
security_result: 보안 결과 세부정보입니다.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

필수 필드:

principal: 로그에서 작업을 수행한 사용자에 대한 사용자 식별자와 해당 로그가 저장된 또는 지워진 경우에는 저장되었던 머신의 머신 식별자를 포함합니다.

SYSTEM_AUDIT_LOG_WIPE의 UDM 예시

다음 예시에서는 SYSTEM_AUDIT_LOG_WIPE 유형 이벤트 형식이 Google SecOps UDM에 맞게 지정되는 방식을 보여줍니다.

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

metadata: 이벤트에 대한 백그라운드 정보입니다.
principal: 기기 및 사용자 세부정보입니다.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

필수 필드:

metadata: 필수 필드를 포함합니다.
principal: 사용자 계정이 원격 위치에서 수정된 경우 주 구성원에 사용자 수정이 시작된 머신에 대한 정보를 채웁니다.
target: target.user에 수정된 사용자에 대한 정보를 채웁니다.
intermediary: SSO 로그인의 경우 중개자에 SSO 서버에 사용 가능한 하나 이상의 머신 식별자가 포함되어야 합니다.

USER_COMMUNICATION

필수 필드:

principal: principal.user 필드에 사용자 시작 (발신자) 통신과 연관된 세부정보를 입력합니다. 여기에는 Google Chat 또는 Slack의 채팅, Zoom 또는 Google Meet의 동영상 또는 음성 회의, VoIP 연결 등이 포함됩니다.

선택적 필드:

target: (권장) target.user 필드에 클라우드 통신 리소스의 대상 사용자 (수신자)에 대한 정보를 입력합니다. target.application 필드에 대상 클라우드 통신 애플리케이션에 대한 정보를 입력합니다.

USER_CREATION, USER_DELETION

필수 필드:

metadata: event_timestamp
principal: 사용자 만들기 또는 삭제 요청이 시작된 머신에 대한 정보를 포함합니다. 로컬 사용자 만들기 또는 삭제를 위해서는 principal에 시작 머신에 대한 머신 식별자가 하나 이상 포함되어야 합니다.
target: 사용자가 생성되는 위치입니다. 또한 사용자 정보를 포함해야 합니다(예: target.user).

선택적 필드:

principal: 사용자 생성 또는 삭제 요청이 시작된 머신의 사용자 및 프로세스 세부정보입니다.
target: 대상 머신에 대한 정보입니다 (principal 머신과 다른 경우).

USER_LOGIN, USER_LOGOUT

필수 필드:

metadata: 필수 필드를 포함합니다.
principal: 원격 사용자 활동(예: 원격 로그인)의 경우 주 구성원에 사용자 활동을 시작하는 머신에 대한 정보를 채웁니다. 로컬 사용자 활동 (예: 로컬 로그인)의 경우 주 구성원을 설정하지 마세요.
target: target.user에 로그온했거나 로그오프한 사용자에 대한 정보를 채웁니다. 주 구성원이 설정되지 않은 경우(예: 로컬 로그인) 대상에는 대상 머신을 식별하는 머신 식별자가 최소 하나 이상 포함되어야 합니다. 머신 간 사용자 활동(예: 원격 로그인, SSO, 클라우드 서비스, VPN)의 경우 대상에는 대상 애플리케이션, 대상 머신 또는 대상 VPN 서버에 대한 정보가 포함되어야 합니다.
intermediary: SSO 로그인의 경우 중개자에 SSO 서버에 사용 가능한 하나 이상의 머신 식별자가 포함되어야 합니다.
network 및 network.http: HTTP를 통해 로그인이 수행될 경우 network.ip_protocol, network.application_protocol, network.http에 사용 가능한 모든 세부정보를 배치해야 합니다.
authentication 확장: 이벤트가 관련된 인증 시스템 유형(예: 머신, SSO, VPN)과 사용된 메커니즘(사용자 이름 및 비밀번호, OTP 등)을 식별해야 합니다.
security_result: 실패했을 때 로그인 상태를 나타내도록 security_result 필드를 추가합니다. 인증이 실패하면 security_result.category에 AUTH_VIOLATION 값을 지정합니다.

USER_RESOURCE_ACCESS

필수 필드:

principal: principal.user 필드에 클라우드 리소스에 액세스하려는 시도에 대한 세부정보를 입력합니다 (예: Salesforce 케이스, Office365 캘린더, Google 문서, ServiceNow 티켓).
target: target.resource 필드에 대상 클라우드 리소스에 대한 정보를 입력합니다.

선택적 필드:

target.application: (권장) target.application 필드에 대상 클라우드 애플리케이션에 대한 정보를 입력합니다.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

필수 필드:

principal: principal.user 필드에 클라우드 리소스 내에서 생성된 사용자와 연관된 세부정보를 입력합니다 (예: Salesforce 케이스, Office 365 캘린더, Google 문서, ServiceNow 티켓).
target: target.resource 필드에 대상 클라우드 리소스에 대한 정보를 입력합니다.

선택적 필드:

target.application: (권장) target.application 필드에 대상 클라우드 애플리케이션에 대한 정보를 입력합니다.

USER_RESOURCE_UPDATE_CONTENT

필수 필드:

principal: principal.user 필드에 클라우드 리소스 내에서 콘텐츠가 업데이트된 사용자와 연관된 세부정보를 입력합니다 (예: Salesforce 케이스, Office365 캘린더, Google 문서, ServiceNow 티켓).
target: target.resource 필드에 대상 클라우드 리소스에 대한 정보를 입력합니다.

선택적 필드:

target.application: (권장) target.application 필드에 대상 클라우드 애플리케이션에 대한 정보를 입력합니다.

USER_RESOURCE_UPDATE_PERMISSIONS

필수 필드:

principal: principal.user 필드에 클라우드 리소스 내에서 권한이 업데이트된 사용자와 연관된 세부정보를 입력합니다 (예: Salesforce 케이스, Office 365 캘린더, Google 문서, ServiceNow 티켓).
target: target.resource 필드에 대상 클라우드 리소스에 대한 정보를 입력합니다.

선택적 필드:

target.application: (권장) target.application 필드에 대상 클라우드 애플리케이션에 대한 정보를 입력합니다.

USER_UNCATEGORIZED

필수 필드:

metadata: event_timestamp
principal: 사용자 만들기 또는 삭제 요청이 시작된 머신에 대한 정보를 포함합니다. 로컬 사용자 만들기 또는 삭제를 위해서는 principal에 시작 머신에 대한 머신 식별자가 하나 이상 포함되어야 합니다.
target: 사용자가 생성되는 위치입니다. 또한 사용자 정보를 포함해야 합니다(예: target.user).

선택적 필드:

principal: 사용자 생성 또는 삭제 요청이 시작된 머신의 사용자 및 프로세스 세부정보입니다.
target: 대상 머신에 대한 정보입니다 (principal 머신과 다른 경우).