통합 데이터 모델 사용법 가이드

이 문서에서는 통합 데이터 모델(UDM) 스키마의 필드에 대해 알아보고 이벤트 유형에 따른 필수 및 선택적 필드에 대해 자세히 설명합니다. 규칙 엔진 평가의 경우 프리픽스는 udm.으로 시작하고 구성 기반 노멀라이저(CBN) 프리픽스는 event.idm.read_only_udm으로 시작합니다.

이벤트 메타데이터 채우기

UDM 이벤트의 이벤트 메타데이터 섹션에는 각 이벤트에 대한 일반적인 정보가 저장됩니다.

Metadata.event_type

  • 용도: 이벤트의 유형을 지정합니다. 이벤트에 사용 가능한 유형이 여러 개인 경우 이 값은 가장 구체적인 유형을 지정해야 합니다.
  • 필수:
  • 인코딩: 사전 정의된 UDM event_type 열거형 중 하나여야 합니다.
  • 가능한 값: 다음은 UDM 내 event_type의 가능한 모든 값을 나열합니다.

이메일 이벤트:

  • EMAIL_TRANSACTION
  • EMAIL_UNCATEGORIZED

엔드포인트에서 수행된 파일 이벤트:

  • FILE_UNCATEGORIZED
  • FILE_CREATION
  • FILE_DELETION
  • FILE_MODIFICATION
  • FILE_READ(예: 비밀번호 파일 읽기)
  • FILE_COPY(예: 파일을 USB 드라이브에 복사)
  • FILE_OPEN(예: 파일 열기는 보안 침해를 나타낼 수 있음)

분류되지 않은 Windows 이벤트 등 다른 카테고리에 해당하지 않는 이벤트입니다.

  • GENERIC_EVENT

뮤텍스(상호 제외 객체) 이벤트:

  • MUTEX_UNCATEGORIZED
  • MUTEX_CREATION

DHCP 및 DNS와 같은 원시 프로토콜 페이로드와 HTTP, SMTP, FTP와 같은 프로토콜에 대한 프로토콜 요약, Netflow 및 방화벽에서 흐름 및 연결 이벤트를 포함한 네트워크 원격 분석.

  • NETWORK_UNCATEGORIZED
  • NETWORK_FLOW(예: Netflow에서 집계된 흐름 통계)
  • NETWORK_CONNECTION(예: 방화벽의 네트워크 연결 세부정보)
  • NETWORK_FTP
  • NETWORK_DHCP
  • NETWORK_DNS
  • NETWORK_HTTP
  • NETWORK_SMTP

프로세스 실행, 악의적인 프로세스를 만드는 프로세스, 다른 프로세스에 삽입한 프로세스, 레지스트리 키 변경, 디스크에 악성 파일 생성 등의 프로세스와 관련된 모든 이벤트.

  • PROCESS_INJECTION
  • PROCESS_LAUNCH
  • PROCESS_MODULE_LOAD
  • PROCESS_OPEN
  • PROCESS_PRIVILEGE_ESCALATION
  • PROCESS_TERMINATION
  • PROCESS_UNCATEGORIZED

Microsoft Windows별 레지스트리 이벤트를 처리할 때는 SETTING 이벤트가 아닌 REGISTRY 이벤트를 사용합니다.

  • REGISTRY_UNCATEGORIZED
  • REGISTRY_CREATION
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

스캔 중심의 이벤트. 엔드포인트 보안 제품(EDR, AV, DLP)에서 실행되는 주문형 스캔 및 행동 감지가 포함됩니다. SecurityResult를 다른 이벤트 유형(예: PROCESS_LAUNCH)에 연결할 때만 사용됩니다.

  • SCAN_UNCATEGORIZED
  • SCAN_FILE
  • SCAN_HOST
  • SCAN_PROCESS
  • SCAN_VULN_HOST
  • SCAN_VULN_NETWORK

예약된 작업 이벤트(Windows Task Scheduler, cron 등):

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • SCHEDULED_TASK_ENABLE
  • SCHEDULED_TASK_DISABLE
  • SCHEDULED_TASK_MODIFICATION

서비스 이벤트:

  • SERVICE_UNSPECIFIED
  • SERVICE_CREATION
  • SERVICE_DELETION
  • SERVICE_START
  • SERVICE_STOP

엔드포인트의 시스템 설정 변경을 포함한 이벤트 설정. 이벤트 요구사항 설정은 여기를 참조하세요.

  • SETTING_UNCATEGORIZED
  • SETTING_CREATION
  • SETTING_MODIFICATION
  • SETTING_DELETION

보안 제품의 상태 메시지. 에이전트가 활성 상태임을 나타내고 버전, 디지털 지문 또는 기타 유형의 데이터를 전송함.

  • STATUS_UNCATEGORIZED
  • STATUS_HEARTBEAT(제품이 활성 상태임을 나타냄)
  • STATUS_STARTUP
  • STATUS_SHUTDOWN
  • STATUS_UPDATE(소프트웨어 또는 디지털 지문 업데이트)

시스템 감사 로그 이벤트:

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • SYSTEM_AUDIT_LOG_WIPE

사용자 인증 활동 이벤트:

  • USER_UNCATEGORIZED
  • USER_BADGE_IN(예: 사용자가 현장에 배지를 찍고 들어가는 경우)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • USER_COMMUNICATION
  • USER_CREATION
  • 사용자 삭제
  • USER_LOGIN
  • USER_LOGOUT
  • USER_RESOURCE_ACCESS
  • USER_RESOURCE_CREATION
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS

Metadata.collected_timestamp

  • 용도: 공급업체의 로컬 수집 인프라에서 이벤트를 수집할 때 GMT 타임스탬프를 인코딩합니다.
  • 인코딩: JSON 또는 Proto3 타임스탬프 형식에 적합한 RFC 3339입니다.
  • 예:
    • RFC 3339: '2019-09-10T20:32:31-08:00'
    • Proto3 형식: '2012-04-23T18:25:43.511Z'

Metadata.event_timestamp

  • 용도: 이벤트가 생성된 시점에 GMT 타임스탬프를 인코딩합니다.
  • 필수:
  • 인코딩: JSON 또는 Proto3 타임스탬프 형식에 적합한 RFC 3339입니다.
  • 예:
    • RFC 3339: 2019-09-10T20:32:31-08:00
    • Proto3 형식: 2012-04-23T18:25:43.511Z

Metadata.description

  • 용도: 사람이 읽을 수 있는 이벤트 설명입니다.
  • 인코딩: 영숫자 문자열, 구두점이 허용되며 최대 1,024바이트입니다.
  • 예시: c:\bar\foo.exe 파일이 민감한 문서 c:\documents\earnings.docx에 액세스하지 못하도록 차단되었습니다.

Metadata.product_event_type

  • 용도: 짧고 설명이 포함되며 사람이 읽을 수 있는 제품별 이벤트 이름 또는 유형입니다.
  • 인코딩: 영숫자 문자열, 구두점이 허용되며 최대 64바이트입니다.
  • 예:
    • 레지스트리 만들기 이벤트
    • ProcessRollUp
    • 권한 에스컬레이션이 감지됨
    • 멀웨어가 차단됨

Metadata.product_log_id

  • 목적: 공급업체별 이벤트 식별자를 인코딩하여 이벤트(GUID)를 고유하게 식별합니다. 사용자는 이 식별자를 사용하여 공급업체 독점 콘솔에서 해당 이벤트를 검색할 수 있습니다.
  • 인코딩: 대소문자 구분, 영숫자 문자열, 구두점이 허용되며 최대 256바이트입니다.
  • 예: ABcd1234-98766

Metadata.product_name

  • 용도: 제품의 이름을 지정합니다.
  • 인코딩: 대소문자 구분, 영숫자 문자열, 구두점이 허용되며 최대 256바이트입니다.
  • 예:
    • Falcon
    • Symantec Endpoint Protection

Metadata.product_version

  • 용도: 제품의 버전을 지정합니다.
  • 인코딩: 영숫자 문자열, 마침표, 대시 허용(최대 32바이트)
  • 예:
    • 1.2.3b
    • 10.3:rev1

Metadata.url_back_to_product

  • 용도: 이 특정 이벤트(또는 일반 이벤트 카테고리)에 대한 자세한 정보를 볼 수 있는 관련 웹사이트로 연결되는 URL입니다.
  • 인코딩: 포트 정보 등의 선택적 매개변수가 포함된 유효한 RFC 3986 URL입니다. URL 앞에 https:// 또는 http://와 같은 프로토콜 프리픽스가 있어야 합니다.
  • 예: https://newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

  • 용도: 제품 공급업체의 이름을 지정합니다.
  • 인코딩: 대소문자 구분, 영숫자 문자열, 구두점이 허용되며 최대 256바이트입니다.
  • 예:
    • CrowdStrike
    • Symantec

Noun 메타데이터 채우기

이 섹션에서 Noun이라는 단어는 principal, src, target, intermediary, observer, about 항목을 나타내기 위해 사용되는 중요한 용어입니다. 이러한 항목에는 공통 속성이 있지만 한 이벤트에서 서로 다른 객체를 나타냅니다. 항목 및 각 항목이 이벤트에서 무엇을 나타내는지 자세히 알아보려면 UDM으로 로그 데이터 형식 지정을 참고하세요.

Noun.asset_id

  • 용도: 공급업체별 고유 기기 식별자(예: 시간이 지남에 따라 고유한 기기를 추적하는 데 사용되는 새 기기에 엔드포인트 보안 소프트웨어를 설치할 때 생성되는 GUID).
  • 인코딩: VendorName.ProductName:ID. 여기서 VendorName은 'Carbon Black'과 같이 대소문자를 구분하지 않는* *공급업체 이름이고 ProductName은 'Response' 또는 'Endpoint Protection'과 같이 대소문자를 구분하지 않는 제품 이름입니다. ID는 고객 환경 내에서 전역적으로 고유한 공급업체별 고객 식별자입니다(예: GUID 또는 고유한 기기를 식별하는 고유한 값). VendorNameProductName은 32자 이하의 영숫자입니다. ID는 최대 128자(영문 기준)이어야 하며 영숫자 문자, 대시, 마침표를 포함할 수 있습니다.
  • 예: CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Noun.email

  • 용도: 이메일 주소
  • 인코딩: 표준 이메일 주소 형식입니다.
  • 예: johns@test.altostrat.com

Noun.file

Noun.hostname

  • 목적: 클라이언트 호스트 이름이나 도메인 이름 필드입니다. URL이 있으면 포함하지 마세요.
  • 인코딩: 유효한 RFC 1123 호스트 이름입니다.
  • 예:
    • userwin10
    • www.altostrat.com

Noun.platform

  • 용도: 플랫폼 운영체제입니다.
  • 인코딩: 열거형
  • 가능한 값:
    • LINUX
    • MAC
    • WINDOWS
    • UNKNOWN_PLATFORM

Noun.platform_patch_level

  • 용도: 플랫폼 운영체제 패치 수준입니다.
  • 인코딩: 구두점이 포함된 영숫자 문자열이며 최대 64자입니다.
  • 예: 빌드 17134.48

Noun.platform_version

  • 용도: 플랫폼 운영체제 버전입니다.
  • 인코딩: 구두점이 포함된 영숫자 문자열이며 최대 64자입니다.
  • 예: Microsoft Windows 10 버전 1803

Noun.process

Noun.ip

  • 용도:
    • 네트워크 연결과 연결된 단일 IP 주소
    • 이벤트가 발생한 시점에 참여자 기기와 연결된 IP 주소 한 개 이상(예: EDR 제품이 기기와 관련된 모든 IP 주소를 알고 있는 경우 모두 IP 필드 내에서 인코딩할 수 있음)
  • 인코딩: ASCII로 인코딩된 유효한 IPv4 또는 IPv6 주소(RFC 5942)입니다.
  • 반복성:
    • 이벤트가 특정 네트워크 연결을 설명하는 경우(예: srcip:srcport > dstips:dstport) 공급업체는 IP 주소 하나만 제공해야 합니다.
    • 이벤트가 참여자 기기에서 발생하는 일반적인 활동을 설명하지만 특정 네트워크 연결을 설명하지 않는 경우 공급업체에서 이벤트 발생 시점에 기기에 연결된 모든 IP 주소를 제공할 수 있습니다.
  • 예:
    • 192.168.1.2
    • 2001:db8:1:3::1

Noun.port

  • 용도: 이벤트 내에서 특정 네트워크 연결이 설명될 때 소스 또는 대상 네트워크 포트 번호입니다.
  • 인코딩: 1~65,535 사이의 유효한 TCP/IP 포트 번호입니다.

  • 예:

    • 80
    • 443

Noun.mac

  • 용도: 기기와 연결된 하나 이상의 MAC 주소입니다.
  • 인코딩: ASCII의 유효한 MAC 주소(EUI-48)입니다.
  • 반복성: 공급업체가 이벤트 발생 시점에 기기에 연결된 모든 MAC 주소를 제공할 수 있습니다.
  • 예:
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Noun.administrative_domain

  • 용도: 기기가 속한 도메인(예: Windows 도메인)입니다.
  • 인코딩: 유효한 도메인 이름 문자열이며 최대 128자입니다.
  • 예시: corp.altostrat.com

Noun.registry

Noun.url

  • 용도: 표준 URL
  • 인코딩: URL(RFC 3986) 유효한 프로토콜 프리픽스가 있어야 합니다(예: https:// 또는 ftp://). 전체 도메인과 경로를 포함해야 합니다. URL 매개변수를 포함할 수 있습니다.
  • 예: https://foo.altostrat.com/bletch?a=b;c=d

Noun.user

인증 메타데이터 채우기

Authentication.AuthType

  • 용도: 인증 이벤트가 연결된 시스템 유형(Chronicle UDM)입니다.
  • 인코딩: 열거형.
  • 가능한 값:
    • AUTHTYPE_UNSPECIFIED
    • MACHINE—머신 인증
    • PHYSICAL-물리적 인증(예: 배지 리더)
    • SSO
    • TACACS: 네트워크 시스템 인증을 위한 TACACS 계열 프로토콜(예: TACACS 또는 TACACS+)
    • VPN

Authentication.Authentication_Status

  • 용도: 사용자의 인증 상태 또는 특정 사용자 인증 정보를 설명합니다.
  • 인코딩: 열거형.
  • 가능한 값:
    • UNKNOWN_AUTHENTICATION_STATUS—기본 인증 상태
    • ACTIVE—인증 방법이 활성 상태임
    • SUSPENDED—인증 방법이 정지 또는 사용 중지됨
    • DELETED—인증 방법이 삭제됨
    • NO_ACTIVE_CREDENTIALS—인증 방법에 활성 사용자 인증 정보 없음

Authentication.auth_details

  • 용도: 공급업체에서 정의한 인증 세부정보입니다.
  • 인코딩: 문자열.

Authentication.Mechanism

  • 용도: 인증에 사용되는 메커니즘입니다.
  • 인코딩: 열거형.
  • 가능한 값:
    • MECHANISM_UNSPECIFIED—기본 인증 메커니즘입니다.
    • BADGE_READER
    • BATCH—일괄 인증입니다.
    • CACHED_INTERACTIVE—캐시된 사용자 인증 정보를 사용한 대화형 인증입니다.
    • HARDWARE_KEY
    • LOCAL
    • MECHANISM_OTHER—여기에 정의되지 않은 다른 메커니즘입니다.
    • NETWORK—네트워크 인증입니다.
    • NETWORK_CLEAR_TEXT—네트워크 일반 텍스트 인증입니다.
    • NEW_CREDENTIALS—새 사용자 인증 정보로 인증합니다.
    • OTP
    • REMOTE—원격 인증
    • REMOTE_INTERACTIVE—RDP, 터미널 서비스, 가상 네트워크 컴퓨팅(VNC) 등
    • SERVICE—서비스 인증
    • UNLOCK—직접 대화형 잠금 해제 인증
    • USERNAME_PASSWORD

DHCP 메타데이터 채우기

동적 호스트 제어 프로토콜(DHCP) 메타데이터 필드는 DHCP 네트워크 관리 프로토콜 로그 정보를 캡처합니다.

Dhcp.client_hostname

  • 용도: 클라이언트의 호스트 이름입니다. 자세한 내용은 RFC 2132, DHCP 옵션 및 BOOTP 공급업체 확장 프로그램을 참조하세요.
  • 인코딩: 문자열.

Dhcp.client_identifier

  • 목적: 클라이언트 식별자입니다. 자세한 내용은 RFC 2132, DHCP 옵션 및 BOOTP 공급업체 확장 프로그램을 참조하세요.
  • 인코딩: 바이트.

Dhcp.file

  • 용도: 부팅 이미지의 파일 이름입니다.
  • 인코딩: 문자열.

Dhcp.flags

  • 용도: DHCP 플래그 필드의 값입니다.
  • 인코딩: 부호 없는 32비트 정수.

Dhcp.hlen

  • 용도: 하드웨어 주소 길이입니다.
  • 인코딩: 부호 없는 32비트 정수.

Dhcp.hops

  • 용도: DHCP 홉 수입니다.
  • 인코딩: 부호 없는 32비트 정수.

Dhcp.htype

  • 용도: 하드웨어 주소 유형입니다.
  • 인코딩: 부호 없는 32비트 정수.

Dhcp.lease_time_seconds

  • 목적: IP 주소에서 클라이언트가 요청한 임대 시간(초)입니다. 자세한 내용은 RFC 2132, DHCP 옵션 및 BOOTP 공급업체 확장 프로그램을 참조하세요.
  • 인코딩: 부호 없는 32비트 정수.

Dhcp.opcode

  • 용도: BOOTP 명령 코드입니다(RFC 951의 섹션 3 참조).
  • 인코딩: 열거형.
  • 가능한 값:
    • UNKNOWN_OPCODE
    • BOOTREQUEST
    • BOOTREPLY

Dhcp.requested_address

  • 목적: 클라이언트 식별자입니다. 자세한 내용은 RFC 2132, DHCP 옵션 및 BOOTP 공급업체 확장 프로그램을 참조하세요.
  • 인코딩: ASCII로 인코딩된 유효한 IPv4 또는 IPv6 주소(RFC 5942)입니다.

Dhcp.seconds

  • 용도: 클라이언트가 주소 획득/갱신 프로세스를 시작한 후 경과된 시간(초)입니다.
  • 인코딩: 부호 없는 32비트 정수.

Dhcp.sname

  • 용도: 클라이언트가 부팅을 요청한 서버의 이름입니다.
  • 인코딩: 문자열.

Dhcp.transaction_id

  • 용도: 클라이언트 트랜잭션 ID입니다.
  • 인코딩: 부호 없는 32비트 정수.

Dhcp.type

  • 용도: DHCP 메시지 유형입니다. 자세한 내용은 RFC 1533을 참조하세요.
  • 인코딩: 열거형.
  • 가능한 값:
    • UNKNOWN_MESSAGE_TYPE
    • DISCOVER
    • 할인 혜택
    • 요청
    • 거부
    • ACK
    • NAK
    • RELEASE
    • INFORM
    • WIN_DELECTED
    • WIN_EXPIRED

Dhcp.chaddr

  • 용도: 클라이언트 하드웨어의 IP 주소입니다.
  • 인코딩: ASCII로 인코딩된 유효한 IPv4 또는 IPv6 주소(RFC 5942)입니다.

Dhcp.ciaddr

  • 용도: 클라이언트의 IP 주소입니다.
  • 인코딩: ASCII로 인코딩된 유효한 IPv4 또는 IPv6 주소(RFC 5942)입니다.

Dhcp.giaddr

  • 용도: 릴레이 에이전트의 IP 주소입니다.
  • 인코딩: ASCII로 인코딩된 유효한 IPv4 또는 IPv6 주소(RFC 5942)입니다.

Dhcp.siaddr

  • 용도: 다음 부트스트랩 서버의 IP 주소입니다.
  • 인코딩: ASCII로 인코딩된 유효한 IPv4 또는 IPv6 주소(RFC 5942)입니다.

Dhcp.yiaddr

  • 용도: IP 주소입니다.
  • 인코딩: ASCII로 인코딩된 유효한 IPv4 또는 IPv6 주소(RFC 5942)입니다.

DHCP 옵션 메타데이터 채우기

DHCP 옵션 메타데이터 필드는 DHCP 옵션 로그 정보를 캡처합니다.

Option.code

  • 용도: DHCP 옵션 코드를 저장합니다. 자세한 내용은 RFC 1533, DHCP 옵션 및 BOOTP 공급업체 확장 프로그램을 참조하세요.
  • 인코딩: 부호 없는 32비트 정수.

Option.data

  • 목적: DHCP 옵션 데이터를 저장합니다. 자세한 내용은 RFC 1533, DHCP 옵션 및 BOOTP 공급업체 확장 프로그램을 참조하세요.
  • 인코딩: 바이트.

DNS 메타데이터 채우기

DNS 메타데이터 필드는 DNS 요청 및 응답 패킷과 관련된 정보를 캡처합니다. DNS 요청과 응답 데이터그램에서 찾은 데이터와 일대일로 대응합니다.

Dns.authoritative

  • 용도: 권한 DNS 서버의 경우 true로 설정합니다.
  • 인코딩: 부울.

Dns.id

  • 용도: DNS 쿼리 식별자를 저장합니다.
  • 인코딩: 32비트 정수.

Dns.response

  • 용도: 이벤트가 DNS 응답인 경우 true로 설정합니다.
  • 인코딩: 부울.

Dns.opcode

  • 용도: DNS 쿼리의 유형(표준, 역, 서버 상태 등)을 지정하는 데 사용되는 DNS OpCode를 저장합니다.
  • 인코딩: 32비트 정수.

Dns.recursion_available

  • 용도: 재귀 DNS 조회가 요청되면 true로 설정합니다.
  • 인코딩: 부울.

Dns.recursion_desired

  • 용도: 재귀 DNS 조회가 요청되면 true로 설정합니다.
  • 인코딩: 부울.

Dns.response_code

  • 용도: RFC 1035, 도메인 이름 - 구현 및 사양에서 정의된 대로 DNS 응답 코드를 저장합니다.
  • 인코딩: 32비트 정수.

Dns.truncated

  • 용도: 잘린 DNS 응답인 경우 true로 설정합니다.
  • 인코딩: 부울.

Dns.questions

Dns.answers

Dns.authority

Dns.additional

DNS 질문 메타데이터 채우기

DNS 질문 메타데이터 필드는 도메인 프로토콜 메시지의 질문 섹션에 포함된 정보를 캡처합니다.

Question.name

  • 용도: 도메인 이름을 저장합니다.
  • 인코딩: 문자열.

Question.class

  • 용도: 쿼리의 클래스를 지정하는 코드를 저장합니다.
  • 인코딩: 32비트 정수.

Question.type

  • 용도: 쿼리 유형을 지정하는 코드를 저장합니다.
  • 인코딩: 32비트 정수.

DNS 리소스 레코드 메타데이터 채우기

DNS 리소스 레코드 메타데이터 필드는 도메인 프로토콜 메시지의 리소스 레코드에 포함된 정보를 캡처합니다.

ResourceRecord.binary_data

  • 목적: DNS 응답의 일부로 포함될 수 있는 UTF8 이외의 문자열의 원시 바이트를 저장합니다. DNS 서버에서 반환한 응답 데이터에 UTF8 이외 데이터가 포함된 경우에만 이 필드를 사용해야 합니다. 그렇지 않으면 DNS 응답을 아래의 데이터 필드에 배치합니다. 이러한 유형의 정보를 ResourceRecord.data가 아닌 여기에 저장해야 합니다.

  • 인코딩: 바이트.

ResourceRecord.class

  • 용도: 리소스 레코드의 클래스를 지정하는 코드를 저장합니다.
  • 인코딩: 32비트 정수.

ResourceRecord.data

  • 목적: UTF-8 형식으로 인코딩된 모든 응답에 대한 페이로드 또는 DNS 질문에 대한 응답을 저장합니다. 예를 들어 데이터 필드는 도메인 이름에서 참조하는 머신의 IP 주소를 반환할 수 있습니다. 리소스 레코드가 다른 유형이나 클래스에 대한 경우 한 도메인 이름이 다른 도메인 이름으로 리디렉션되면 다른 도메인 이름이 포함될 수 있습니다. 데이터는 DNS 응답과 마찬가지로 저장되어야 합니다.
  • 인코딩: 문자열.

ResourceRecord.name

  • 용도: 리소스 레코드 소유자의 이름을 저장합니다.
  • 인코딩: 문자열.

ResourceRecord.ttl

  • 용도: 정보 소스를 다시 쿼리하기 전에 리소스 레코드를 캐시할 수 있는 시간 간격을 저장합니다.
  • 인코딩: 32비트 정수.

ResourceRecord.type

  • 용도: 리소스 레코드 유형을 지정하는 코드를 저장합니다.
  • 인코딩: 32비트 정수.

이메일 메타데이터 채우기

대부분의 이메일 메타데이터 필드는 메일 헤더에 포함된 이메일 주소를 캡처하며 RFC 5322에 정의된 표준 이메일 주소 형식(local-mailbox@domain)을 따라야 합니다. 예: frank@email.example.com

Email.from

  • 용도: from 이메일 주소를 저장합니다.
  • 인코딩: 문자열.

Email.reply_to

  • 용도: reply_to 이메일 주소를 저장합니다.
  • 인코딩: 문자열.

Email.to

  • 용도: to 이메일 주소를 저장합니다.
  • 인코딩: 문자열.

Email.cc

  • 용도: cc 이메일 주소를 저장합니다.
  • 인코딩: 문자열.

Email.bcc

  • 용도: bcc 이메일 주소를 저장합니다.
  • 인코딩: 문자열.

Email.mail_id

  • 용도: 메일(또는 메시지) ID를 저장합니다.
  • 인코딩: 문자열.
  • 예시: 192544.132632@email.example.com

Email.subject

  • 용도: 이메일 제목을 저장합니다.
  • 인코딩: 문자열.
  • 예시: '이 메시지를 읽어 주세요.'

확장 프로그램 메타데이터 채우기

Chronicle UDM에 의해 아직 분류되지 않은 최고 수준의 메타데이터가 있는 이벤트 유형입니다. Extensions.auth

  • 용도: 인증 메타데이터에 대한 확장 프로그램입니다.
  • 인코딩: 문자열.
  • 예:
    • 샌드박스 메타데이터(파일에 의해 표시되는 모든 동작. 예: FireEye).
    • 네트워크 액세스 제어(NAC) 데이터.
    • 사용자에 대한 LDAP 세부정보(예: 역할, 조직 등).

Extensions.auth.auth_details

  • 목적: 인증 유형이나 메커니즘에 대한 공급업체별 세부정보를 지정합니다. 인증 제공업체에서 인증 유형에 대한 유용한 정보를 제공하는 via_mfa, via_ad 등의 유형을 정의하는 경우가 많습니다. 이러한 유형은 여전히 사용성과 데이터 세트 간 규칙 호환성을 위해 auth.type 또는 auth.mechanism에서 일반화될 수 있습니다.
  • 인코딩: 문자열.
  • 예: via_mfa, via_ad.

Extensions.vulns

  • 용도: 취약점 메타데이터에 대한 확장 프로그램입니다.
  • 인코딩: 문자열.
  • 예:
    • 취약점 스캔 데이터를 호스팅합니다.

파일 메타데이터 채우기

File.file_metadata

  • 용도: 파일과 관련된 메타데이터입니다.
  • 인코딩: 문자열.
  • 예:
    • 작성자
    • 버전 번호
    • 버전 번호
    • 최종 저장일

File.full_path

  • 용도: 시스템에서 파일의 위치를 식별하는 전체 경로입니다.
  • 인코딩: 문자열.
  • 예시: \Program Files\Custom Utilities\Test.exe

File.md5

  • 용도: 파일의 MD5 해시 값입니다.
  • 인코딩: 문자열, 소문자 16진수입니다.
  • 예: 35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

  • 용도: 파일의 다목적 인터넷 메일 확장 프로그램(MIME) 유형입니다.
  • 인코딩: 문자열.
  • 예:
    • PE
    • PDF
    • powershell 스크립트

File.sha1

  • 용도: 파일의 SHA-1 해시 값입니다.
  • 인코딩: 문자열, 소문자 16진수입니다.
  • 예: eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

  • 용도: 파일의 SHA-256 해시 값입니다.
  • 인코딩: 문자열, 소문자 16진수입니다.
  • 예:
    • d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

File.size

  • 용도: 파일 크기입니다.
  • 인코딩: 부호 없는 64비트 정수.
  • 예: 342135.

FTP 메타데이터 채우기

Ftp.command

  • 용도: FTP 명령어를 저장합니다.
  • 인코딩: 문자열.
  • 예:
    • binary
    • 삭제
    • get
    • put

그룹 메타데이터 채우기

조직 그룹에 대한 정보입니다.

Group.creation_time

  • 용도: 그룹 생성 시간입니다.
  • 인코딩: JSON 또는 Proto3 타임스탬프 형식에 적합한 RFC 3339입니다.

Group.email_addresses

  • 용도: 그룹 연락처 정보입니다.
  • 인코딩: 이메일입니다.

Group.group_display_name

  • 용도: 그룹 표시 이름입니다.
  • 인코딩: 문자열.
  • 예:
    • 금융
    • 인사 관리
    • 마케팅

Group.product_object_id

  • 용도: 제품의 전역적으로 고유한 사용자 객체 식별자(예: LDAP 객체 식별자)입니다.
  • 인코딩: 문자열.

Group.windows_sid

  • 용도: Microsoft Windows 보안 식별자(SID) 그룹 속성 필드입니다.
  • 인코딩: 문자열.

HTTP 메타데이터 채우기

Http.method

  • 용도: HTTP 요청 메서드를 저장합니다.
  • 인코딩: 문자열.
  • 예:
    • GET
    • HEAD
    • POST

Http.referral_url

  • 용도: HTTP 리퍼러의 URL을 저장합니다.
  • 인코딩: 유효한 RFC 3986 URL입니다.
  • 예시: https://www.altostrat.com

Http.response_code

  • 용도: 특정 HTTP 요청이 성공적으로 완료되었는지 여부를 나타내는 HTTP 응답 상태 코드를 저장합니다.
  • 인코딩: 32비트 정수.
  • 예:
    • 400
    • 404

Http.useragent

  • 용도: 요청하는 소프트웨어 사용자 에이전트의 애플리케이션 유형, 운영체제, 소프트웨어 공급업체 또는 소프트웨어 버전이 포함된 사용자 에이전트 요청 헤더를 저장합니다.
  • 인코딩: 문자열.
  • 예:
    • Mozilla/5.0(X11; Linux x86_64)
    • AppleWebKit/534.26(KHTML, Gecko 등)
    • Chrome/41.0.2217.0
    • Safari/527.33

위치 메타데이터 채우기

Location.city

  • 용도: 도시 이름을 저장합니다.
  • 인코딩: 문자열.
  • 예:
    • 서니베일
    • 시카고
    • 말라가

Location.country_or_region

  • 용도: 전 세계 국가 또는 리전의 이름을 저장합니다.
  • 인코딩: 문자열.
  • 예:
    • 미국
    • 영국
    • 스페인

Location.name

  • 용도: 건물이나 캠퍼스와 같은 기업의 고유 이름을 저장합니다.
  • 인코딩: 문자열.
  • 예:
    • 캠퍼스 7B
    • 빌딩 A2

Location.state

  • 용도: 주, 도 또는 지역의 이름을 저장합니다.
  • 인코딩: 문자열.
  • 예:
    • 캘리포니아
    • 일리노이
    • 온타리오

네트워크 메타데이터 채우기

Network.application_protocol

  • 용도: 네트워크 애플리케이션 프로토콜을 나타냅니다.
  • 인코딩: 열거형.
  • 가능한 값:
    • UNKNOWN_APPLICATION_PROTOCOL
    • QUIC
    • HTTP
    • HTTPS
    • DNS
    • DHCP

Network.direction

  • 용도: 네트워크 트래픽의 방향을 나타냅니다.
  • 인코딩: 열거형.
  • 가능한 값:
    • UNKNOWN_DIRECTION
    • INBOUND
    • OUTBOUND
    • BROADCAST

Network.email

  • 용도: 발신자/수신자의 이메일 주소를 지정합니다.
  • 인코딩: 문자열.
  • 예시: jcheng@company.example.com

Network.ip_protocol

  • 목적: IP 프로토콜을 나타냅니다.
  • 인코딩: 열거형.
  • 가능한 값:
    • UNKNOWN_IP_PROTOCOL
    • EIGRP—향상된 내부 게이트웨이 라우팅 프로토콜
    • ESP—보안 페이로드 캡슐화
    • ETHERIP—이더넷 내부 IP 캡슐화
    • GRE—일반 라우팅 캡슐화
    • ICMP—인터넷 제어 메시지 프로토콜
    • IGMP—인터넷 그룹 관리 프로토콜
    • IP6IN4—IPv6 캡슐화
    • PIM—프로토콜 독립 멀티캐스트
    • TCP—전송 제어 프로토콜
    • UDP—사용자 데이터그램 프로토콜
    • VRRP—가상 라우터 중복 프로토콜

Network.received_bytes

  • 용도: 수신된 바이트 수를 지정합니다.
  • 인코딩: 부호 없는 64비트 정수.
  • 예: 12,453,654,768

Network.sent_bytes

  • 용도: 수신된 바이트 수를 지정합니다.
  • 인코딩: 부호 없는 64비트 정수.
  • 예: 7,654,876

Network.session_duration

  • 용도: 일반적으로 세션의 드롭 이벤트에 반환되는 네트워크 세션 기간을 저장합니다. 기간을 설정하려면 network.session_duration.seconds = 1,(유형 int64) 또는 network.session_duration.nanos = 1(유형 int32)을 설정합니다.
  • 인코딩:
    • 32비트 정수 - 초(network.session_duration.seconds)입니다.
    • 64비트 정수 - 나노초(network.session_duration.nanos)입니다.

Network.session_id

  • 용도: 네트워크 세션 식별자를 저장합니다.
  • 인코딩: 문자열.
  • 예: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

프로세스 메타데이터 채우기

Process.command_line

  • 용도: 프로세스의 명령줄 문자열을 저장합니다.
  • 인코딩: 문자열.
  • 예: c:\windows\system32\net.exe group

Process.product_specific_process_id

  • 용도: 제품별 프로세스 ID를 저장합니다.
  • 인코딩: 문자열.
  • 예시: MySQL:78778 또는 CS:90512

Process.parent_process.product_specific_process_id

  • 용도: 상위 프로세스의 제품별 프로세스 ID를 저장합니다.
  • 인코딩: 문자열.
  • 예시: MySQL:78778 또는 CS:90512

Process.file

  • 용도: 프로세스에서 사용 중인 파일의 이름을 저장합니다.
  • 인코딩: 문자열.
  • 예시: report.xls

Process.parent_process

  • 용도: 상위 프로세스의 세부정보를 저장합니다.
  • 인코딩: 명사(프로세스)

Process.pid

  • 용도: 프로세스 ID를 저장합니다.
  • 인코딩: 문자열.
  • 예:
    • 308
    • 2002

레지스트리 메타데이터 채우기

Registry.registry_key

  • 용도: 애플리케이션 또는 시스템 구성요소와 연결된 레지스트리 키를 저장합니다.
  • 인코딩: 문자열.
  • 예시: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

  • 용도: 애플리케이션 또는 시스템 구성요소와 연결된 레지스트리 값의 이름을 저장합니다.
  • 인코딩: 문자열.
  • 예시: TEMP

Registry.registry_value_data

  • 용도: 레지스트리 값과 연결된 데이터를 저장합니다.
  • 인코딩: 문자열.
  • 예시: %USERPROFILE%\Local Settings\Temp

보안 결과 메타데이터 채우기

보안 결과 메타데이터에는 보안 시스템에서 발견한 보안 위험과 위협에 대한 세부정보와 이러한 위험과 위협을 완화할 수 있는 조치가 포함됩니다.

SecurityResult.about

  • 용도: 보안 결과에 대한 설명을 제공합니다.
  • 인코딩: 명사.

SecurityResult.action

  • 용도: 보안 작업을 지정합니다.
  • 인코딩: 열거형.
  • 가능한 값: Chronicle UDM은 다음 보안 작업을 정의합니다.
    • ALLOW
    • ALLOW_WITH_MODIFICATION—파일 또는 이메일이 치료 또는 재작성되었으며 계속 전달되었습니다.
    • 차단
    • QUARANTINE—나중 분석을 위해 저장합니다(블록을 의미하지 않음).
    • UNKNOWN_ACTION

SecurityResult.action_details

  • 용도: 보안 사고로 인해 공급업체에서 제공한 작업에 대한 세부정보입니다. 보안 작업에서 더 일반적인 Security_Result.action UDM 필드로 변환되는 경우가 많습니다. 하지만 공급업체에서 제공한 정확한 작업 설명에 대한 규칙을 작성해야 할 수 있습니다.
  • 인코딩: 문자열.
  • 예시: 삭제, 차단, 복호화, 암호화

SecurityResult.category

  • 용도: 보안 카테고리를 지정합니다.
  • 인코딩: 열거형.
  • 가능한 값: Chronicle UDM은 다음 보안 카테고리를 정의합니다.
    • ACL_VIOLATION—파일, 웹 서비스, 프로세스, 웹 객체 등에 대한 액세스 시도를 비롯하여 무단 액세스 시도
    • AUTH_VIOLATION: 잘못된 비밀번호 또는 잘못된 2단계 인증과 같은 인증 실패
    • DATA_AT_REST—DLP: 스캔 중에 저장된 센서 데이터
    • DATA_DESTRUCTION—데이터 소멸/삭제를 시도합니다.
    • DATA_EXFILTRATION—DLP: 센서 데이터 전송이며 USB 드라이브에 복사됩니다.
    • EXPLOIT— 네트워크 및 호스트 기반의 오버플로 시도, 잘못된 프로토콜 인코딩, ROP, SQL 삽입 등
    • MAIL_PHISHING—피싱 이메일, 채팅 메시지 등
    • MAIL_SPAM—스팸 이메일, 메시지 등
    • MAIL_SPOOFING—스푸핑된 소스 이메일 주소 등
    • NETWORK_CATEGORIZED_CONTENT
    • NETWORK_COMMAND_AND_CONTROL—명령어 및 제어 채널이 알려진 경우.
    • NETWORK_DENIAL_OF_SERVICE
    • NETWORK_MALICIOUS—명령어 및 제어, 네트워크 익스플로잇, 의심스러운 활동, 잠재적인 역방향 터널 등
    • NETWORK_SUSPICIOUS—보안과 관련 없음(예: 도박과 연결된 URL 등)
    • NETWORK_RECON—IDS에서 포트 스캔을 감지하고 웹 애플리케이션에서 프로브합니다.
    • POLICY_VIOLATION: 방화벽, 프록시, HIPS 규칙 위반 또는 NAC 차단 작업을 포함한 보안 정책 위반
    • SOFTWARE_MALICIOUS—멀웨어, 스파이웨어, 루트킷 등
    • SOFTWARE_PUA - 애드웨어 등과 같이 잠재적으로 원치 않는 앱
    • SOFTWARE_SUSPICIOUS
    • UNKNOWN_CATEGORY

SecurityResult.confidence

  • 용도: 제품에서 예측되는 보안 이벤트와 관련된 신뢰도를 지정합니다.
  • 인코딩: 열거형.
  • 가능한 값: Chronicle UDM은 다음 제품 신뢰도 카테고리를 정의합니다.
    • UNKNOWN_CONFIDENCE
    • LOW_CONFIDENCE
    • MEDIUM_CONFIDENCE
    • HIGH_CONFIDENCE

SecurityResult.confidence_details

  • 용도: 제품 공급업체에서 예측한 보안 이벤트의 신뢰도와 관련된 추가 세부정보입니다.
  • 인코딩: 문자열.

SecurityResult.priority

  • 용도: 제품 공급업체에서 예측한 보안 이벤트와 관련된 우선순위를 지정합니다.
  • 인코딩: 열거형.
  • 가능한 값: Chronicle UDM은 다음 제품 우선순위 카테고리를 정의합니다.
    • UNKNOWN_PRIORITY
    • LOW_PRIORITY
    • MEDIUM_PRIORITY
    • HIGH_PRIORITY

SecurityResult.priority_details

  • 용도: 보안 결과 우선순위에 대한 공급업체별 정보입니다.
  • 인코딩: 문자열.

SecurityResult.rule_id

  • 용도: 보안 규칙의 식별자입니다.
  • 인코딩: 문자열.
  • 예:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

  • 용도: 보안 규칙의 이름입니다.
  • 인코딩: 문자열.
  • 예: BlockInboundToOracle

SecurityResult.severity

  • 용도: Chronicle UDM에서 정의된 값을 사용하여 제품 공급업체에서 예측한 보안 이벤트의 심각도입니다.
  • 인코딩: 열거형.
  • 가능한 값: Chronicle UDM은 다음 제품 심각도를 정의합니다.
    • UNKNOWN_SEVERITY—비악성
    • INFORMATIONAL—비악성
    • ERROR—비악성
    • LOW—악성
    • MEDIUM—악성
    • HIGH—악성

SecurityResult.severity_details

  • 용도: 제품 공급업체에서 예측한 보안 이벤트의 심각도입니다.
  • 인코딩: 문자열.

SecurityResult.threat_name

  • 용도: 보안 위협의 이름입니다.
  • 인코딩: 문자열.
  • 예:
    • W32/File-A
    • Slammer

SecurityResult.url_back_to_product

  • 용도: 이 보안 이벤트의 소스 제품 콘솔로 연결되는 URL입니다.
  • 인코딩: 문자열.

사용자 메타데이터 채우기

User.email_addresses

  • 용도: 사용자의 이메일 주소를 저장합니다.
  • 인코딩: 반복되는 문자열.
  • 예시: johnlocke@company.example.com

User.employee_id

  • 용도: 사용자의 인사 관리 직원 ID를 저장합니다.
  • 인코딩: 문자열.
  • 예: 11223344.

User.first_name

  • 용도: 사용자의 이름을 저장합니다.
  • 인코딩: 문자열.
  • 예: John.

User.middle_name

  • 용도: 사용자의 이름을 저장합니다.
  • 인코딩: 문자열.
  • 예: Anthony.

User.last_name

  • 용도: 사용자의 이름을 저장합니다.
  • 인코딩: 문자열.
  • 예: Locke.

User.group_identifiers

  • 용도: 사용자와 연결된 그룹 ID(GUID, LDAP OID 등)를 저장합니다.
  • 인코딩: 반복되는 문자열.
  • 예: admin-users.

User.phone_numbers

  • 용도: 사용자의 전화번호를 저장합니다.
  • 인코딩: 반복되는 문자열.
  • 예: 800-555-0101

User.title

  • 용도: 사용자의 직무를 저장합니다.
  • 인코딩: 문자열.
  • 예: 고객 관계 관리자

User.user_display_name

  • 용도: 사용자의 이름을 저장합니다.
  • 인코딩: 문자열.
  • 예: John Locke.

User.userid

  • 용도: 사용자 ID를 저장합니다.
  • 인코딩: 문자열.
  • 예: jlocke.

User.windows_sid

  • 용도: 사용자와 연결된 Microsoft Windows SID(보안 식별자)를 저장합니다.
  • 인코딩: 문자열.
  • 예: S-1-5-21-1180649209-123456789-3582944384-1064

취약점 메타데이터 채우기

Vulnerability.about

  • 용도: 취약점이 특정 명사(예: 실행 파일)에 관한 것이면 여기에 추가합니다.
  • 인코딩: 명사. Noun 메타데이터 채우기를 참조하세요.
  • 예시: 실행 파일

Vulnerability.cvss_base_score

  • 용도: 공통 취약점 점수 산출 시스템(CVSS)의 기본 점수입니다.
  • 인코딩: 부동 소수점.
  • 범위: 0.0~10.0
  • 예: 8.5

Vulnerability.cvss_vector

  • 목적: 취약점의 CVSS 속성에 대한 벡터입니다. CVSS 점수는 다음 측정항목으로 구성됩니다.

    • 공격 벡터(AV)
    • 액세스 복잡성(AC)
    • 인증(Au)
    • 기밀 유지 영향(C)
    • 무결성 영향(I)
    • 가용성 영향(A)

    자세한 내용은 https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator를 참조하세요.

  • 인코딩: 문자열.

  • 예: AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

  • 용도: 취약점 점수 또는 벡터에 대한 CVSS 버전입니다.
  • 인코딩: 문자열.
  • 예: 3.1

Vulnerability.description

  • 용도: 취약점에 대한 설명입니다.
  • 인코딩: 문자열.

Vulnerability.first_found

  • 용도: 취약점 스캔 기록을 유지하는 제품은 이 애셋의 취약점이 처음 감지된 시간으로 first_found를 채워야 합니다.
  • 인코딩: 문자열.

Vulnerability.last_found

  • 용도: 취약점 스캔 기록을 유지하는 제품이 이 애셋의 취약점이 가장 최근에 감지된 시간으로 last_found를 채워야 합니다.
  • 인코딩: 문자열.

Vulnerability.name

  • 용도: 취약점의 이름입니다.
  • 인코딩: 문자열.
  • 예시: 지원되지 않는 OS 버전이 감지되었습니다.

Vulnerability.scan_end_time

  • 용도: 애셋 스캔 중에 취약점이 발견된 경우 이 필드를 스캔이 종료된 시간으로 채웁니다. 종료 시간을 사용할 수 없거나 적용할 수 없는 경우 이 필드를 비워 둡니다.
  • 인코딩: 문자열.

Vulnerability.scan_start_time

  • 용도: 애셋 스캔 중에 취약점이 발견된 경우 스캔을 시작한 시간으로 이 필드를 채웁니다. 시작 시간을 사용할 수 없거나 적용할 수 없는 경우 이 필드를 비워 둡니다.
  • 인코딩: 문자열.

Vulnerability.severity

  • 용도: 취약점의 심각도입니다.
  • 인코딩: 열거형.
  • 가능한 값:
    • UNKNOWN_SEVERITY
    • 낮음
    • 보통
    • 높음

Vulnerability.severity_details

  • 용도: 공급업체별 심각도 세부정보입니다.
  • 인코딩: 문자열.

알림 메타데이터 채우기

idm.is_significant

  • 용도: Enterprise Insights에 알림을 표시할지 여부를 지정합니다.
  • 인코딩: 부울

idm.is_alert

  • 용도: 이벤트가 알림인지 여부를 식별합니다.
  • 인코딩: 부울

이벤트 유형에 따른 필수 및 선택적 필드

이 섹션에서는 UDM 이벤트 유형에 따라 채워야 하는 필수 필드와 선택적 필드를 설명합니다. 이러한 필드에 대한 설명은 통합 데이터 모델 필드 목록을 참조하세요.

EMAIL_TRANSACTION

필수 필드:

  • metadata: 필수 필드를 포함합니다.
  • principal: 이메일 메시지가 시작된 머신에 대한 정보로 채워집니다. 예를 들어 발신자의 IP 주소입니다.

선택적 필드:

  • about: 이메일 본문에 포함된 URL, IP, 도메인 및 모든 첨부 파일입니다.
  • securityResult.about: 이메일 본문에 포함된 잘못된 URL, IP, 파일입니다.
  • network.email: 이메일 발신자/수신자 정보입니다.
  • principal: 이메일을 전송한 사용자에 대한 클라이언트 머신 데이터가 있으면 클라이언트 프로세스, 포트 번호, 사용자 이름과 같은 서버 세부정보를 principal에 입력합니다.
  • target: 대상 이메일 서버 데이터가 있으면 IP 주소와 같은 서버 세부정보를 target에 입력합니다.
  • intermediary: 메일 서버 데이터 또는 메일 프록시 데이터가 있으면 서버 세부정보를 intermediary에 입력합니다.

참고:

  • principal.email 또는 target.email은 입력하지 마세요.
  • security_result.about 또는 network.email에만 이메일을 입력하세요.
  • 최상위 보안 결과는 일반적으로 명사 집합이 있습니다(스팸 선택사항).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ, FILE_OPEN

필수 필드:

  • metadata: 필수 필드를 포함합니다.
  • principal:
    • 1개 이상의 머신 식별자입니다.
    • (선택사항) 파일에 액세스하는 프로세스에 대한 정보를 principal.process에 입력합니다.
  • target:
    • 파일이 원격이면(예: SMB 공유) 대상 머신에 대한 하나 이상의 머신 식별자가 대상에 포함되어야 합니다. 그렇지 않으면 모든 머신 식별자가 비어 있어야 합니다.
    • target.file에 파일에 대한 정보를 입력합니다.

선택사항:

  • security_result: 감지된 악성 활동을 설명합니다.
  • principal.user: 프로세스에 대해 사용 가능한 사용자 정보가 있으면 입력합니다.

FILE_COPY

필수 필드:

  • metadata: 설명된 대로 필수 필드를 포함합니다.
  • principal:
    • 1개 이상의 머신 식별자입니다.
    • (선택사항) principal.process에 파일 복사 작업을 수행하는 프로세스에 대한 정보를 입력합니다.
  • src:
    • src.file에 소스 파일에 대한 정보를 입력합니다.
    • 파일이 원격이면(예: SMB 공유) src에 소스 파일을 저장하는 소스 머신에 대한 머신 식별자가 하나 이상 포함되어야 합니다.
  • target:
    • target.file에 대상 파일에 대한 정보를 입력합니다.
    • 파일이 원격이면(예: SMB 공유) target 필드에 대상 파일이 저장된 대상 머신에 대해 머신 식별자가 하나 이상 포함되어야 합니다.

선택적 필드:

  • security_result: 감지된 악성 활동을 설명합니다.
  • principal.user: 프로세스에 대해 사용 가능한 사용자 정보가 있으면 입력합니다.

MUTEX_CREATION

필수 필드:

  • metadata: 필수 필드를 포함합니다.
  • principal:
    • 1개 이상의 머신 식별자입니다.
    • principal.process에 뮤텍스를 만드는 프로세스에 대한 정보를 입력합니다.
  • target:
    • target.resource에 입력합니다.
    • target.resource.type에 MUTEX를 입력합니다.
    • target.resource.name에 생성된 뮤텍스 이름을 입력합니다.

선택사항:

  • security_result: 감지된 악성 활동을 설명합니다.
  • principal.user: 프로세스에 대해 사용 가능한 사용자 정보가 있으면 입력합니다.
MUTEX_CREATION의 UDM 예시

다음 예시는 Chronicle UDM에 대해 MUTEX_CREATION 유형의 이벤트 형식이 지정되는 방법을 보여줍니다.

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

  • metadata: 이벤트에 대한 백그라운드 정보입니다.
  • principal: 기기 및 프로세스 세부정보입니다.
  • target: 뮤텍스에 대한 정보입니다.

NETWORK_CONNECTION

필수 필드:

  • metadata: event_timestamp
  • principal: 네트워크 연결을 시작한 머신에 대한 세부정보를 포함합니다(예: 소스).
  • target: principal 머신과 다른 경우 target 머신에 대한 세부정보를 포함합니다.
  • network: 네트워크 연결에 대한 세부정보를 캡처합니다(포트, 프로토콜 등).

선택적 필드:

  • principal.processtarget.process: 네트워크 연결의 principal 및 target과 연관된 프로세스 정보를 포함합니다(사용 가능한 경우).
  • principal.usertarget.user: 네트워크 연결의 principal 및 target과 연관된 사용자 정보를 포함합니다(사용 가능한 경우).

NETWORK_HTTP

NETWORK_HTTP 이벤트 유형은 principal에서 target 웹 서버로의 HTTP 네트워크 연결을 나타냅니다.

필수 필드:

  • metadata: 필수 필드를 포함합니다.
  • principal: 웹 요청을 시작한 클라이언트를 나타내며, 하나 이상의 머신 식별자(예: 호스트 이름, IP, MAC, 고유 애셋 식별자) 또는 사용자 식별자(예: 사용자 이름)를 포함합니다. 특정 네트워크 연결이 기술되어 있고 클라이언트 포트 번호를 사용할 수 있으면, 네트워크 연결과 관련된 포트 번호와 함께 하나의 IP 주소만 지정해야 합니다. 참여 기기를 더 효과적으로 기술하기 위해 다른 머신 식별자를 제공할 수도 있습니다. 소스 포트를 사용할 수 없으면 principal 기기를 기술하는 임의의 그리고 모든 IP 및 MAC 주소, 애셋 식별자, 호스트 이름 값을 지정할 수 있습니다.
  • target: 웹 서버를 나타내며 기기 정보 및 선택적으로 포트 번호를 포함합니다. 대상 포트 번호를 사용할 수 있으면 해당 네트워크 연결과 연관된 포트 번호와 함께 하나의 IP 주소만 지정하세요. 대상에 대해 다른 머신 식별자는 여러 개 제공할 수 있습니다. target.url에 대해 액세스되는 URL을 입력합니다.
  • networknetwork.http: HTTP 네트워크 연결에 대한 세부정보를 포함합니다. 다음 필드를 입력해야 합니다.
    • network.ip_protocol
    • network.application_protocol
    • network.http.method

선택적 필드:

  • about: HTTP 트랜잭션에서 발견된 다른 항목을 나타냅니다(예: 업로드되었거나 다운로드된 파일).
  • intermediary: 프록시 서버를 나타냅니다(principal 또는 target과 다른 경우).
  • metadata: 다른 메타데이터 필드를 입력합니다.
  • network: 다른 네트워크 필드를 입력합니다.
  • network.email: HTTP 네트워크 연결이 이메일 메시지에 표시된 URL로부터 시작된 경우 network.email에 해당 세부정보를 입력합니다.
  • observer: 수동 스니퍼를 나타냅니다(있는 경우).
  • security_result: 감지된 악성 활동을 나타내기 위해 security_result 필드에 하나 이상의 항목을 추가합니다.
NETWORK_HTTP의 UDM 예시

다음 예시는 NETWORK_HTTP 유형의 Sophos 안티바이러스 이벤트를 Chronicle UDM 형식으로 변환하는 방법을 보여줍니다.

다음은 원래 Sophos 안티바이러스 이벤트입니다.

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Chronicle UDM 구문을 사용하여 Proto3에서 동일한 정보의 형식을 지정하는 방법은 다음과 같습니다.

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Chronicle-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

  • metadata: 이벤트에 대한 백그라운드 정보입니다.
  • principal: 이벤트를 감지한 보안 기기입니다.
  • target: 악성 소프트웨어가 수신된 기기입니다.
  • network: 악성 호스트에 대한 네트워크 정보입니다.
  • security_result: 악성 소프트웨어에 대한 보안 세부정보입니다.
  • additional: 현재 UDM 범위 밖에 있는 공급업체 정보입니다.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

필수 필드:

  • metadata: 필수 필드를 포함합니다.
  • principal:
    • 1개 이상의 머신 식별자입니다.
    • 프로세스 삽입 및 프로세스 종료 이벤트의 경우 가능하면 principal.process에 작업을 시작한 프로세스에 대한 정보가 포함되어야 하고(예: 프로세스 시작 이벤트 정보), principal.process에 상위 프로세스에 대한 세부정보가 포함되어야 합니다(사용 가능한 경우).
  • target:
    • target.process: 삽입, 열기, 시작, 종료 중인 프로세스에 대한 정보를 포함합니다.
    • 대상 프로세스가 원격이면 대상에 대상 머신에 대해 하나 이상의 머신 식별자가 포함되어야 합니다(예: IP 주소, MAC, 호스트 이름, 타사 애셋 식별자).

선택적 필드:

  • security_result: 감지된 악성 활동을 설명합니다.
  • principal.usertarget.user: 사용자 정보를 사용 가능한 경우 시작 프로세스(principal) 및 대상 프로세스를 입력합니다.
PROCESS_LAUNCH의 UDM 예시

다음 예시는 Chronicle UDM 구문을 사용하여 PROCESS_LAUNCH 이벤트 형식을 지정하는 방법을 보여줍니다.

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

  • metadata: 이벤트에 대한 백그라운드 정보입니다.
  • principal: 기기 세부정보입니다.
  • target: 프로세스 세부정보입니다.

PROCESS_MODULE_LOAD

필수 필드:

  • metadata: 필수 필드를 포함합니다.
  • principal:
    • 1개 이상의 머신 식별자입니다.
    • principal.process: 모듈을 로드하는 프로세스입니다.
  • target:
    • target.process: 프로세스에 대한 정보를 포함합니다.
    • target.process.file: 로드된 모듈입니다(예: DLL 또는 공유 객체).

선택적 필드:

  • security_result: 감지된 악성 활동을 설명합니다.
  • principal.user: 프로세스에 대해 사용 가능한 사용자 정보가 있으면 입력합니다.
PROCESS_MODULE_LOAD의 UDM 예시

다음 예시는 Chronicle UDM 구문을 사용하여 PROCESS_MODULE_LOAD 이벤트 형식을 지정하는 방법을 보여줍니다.

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

  • metadata: 이벤트에 대한 백그라운드 정보입니다.
  • principal: 기기 및 모듈을 로드하는 프로세스에 대한 세부정보입니다.
  • target: 프로세스 및 모듈 세부정보입니다.

PROCESS_PRIVILEGE_ESCALATION

필수 필드:

  • metadata: 필수 필드를 포함합니다.
  • principal:
    • 1개 이상의 머신 식별자입니다.
    • principal.process: 모듈을 로드하는 프로세스입니다.
    • principal.user: 모듈을 로드하는 사용자입니다.

선택적 필드:

  • security_result: 감지된 악성 활동을 설명합니다.
PROCESS_PRIVILEGE_ESCALATION의 UDM 예시

다음 예시는 Chronicle UDM 구문을 사용하여 PROCESS_PRIVILEGE_ESCALATION 이벤트 형식을 지정하는 방법을 보여줍니다.

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

  • metadata: 이벤트에 대한 백그라운드 정보입니다.
  • principal: 기기, 사용자, 모듈을 로드하는 프로세스에 대한 세부정보입니다.
  • target: 프로세스 및 모듈 세부정보입니다.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

필수 필드:

  • metadata: 필수 필드를 포함합니다.
  • principal:
    • 1개 이상의 머신 식별자입니다.
    • 사용자 모드 프로세스가 레지스트리 수정을 수행하는 경우 principal.process는 레지스트리를 수정하는 프로세스에 대한 정보를 포함해야 합니다.
    • 커널 프로세스가 레지스트리 수정을 수행할 경우 principal은 프로세스 정보를 포함하지 않아야 합니다.
  • target:
    • target.registry: 대상 레지스트리가 원격이면 대상에 대상 머신에 대해 하나 이상의 식별자가 포함되어야 합니다(예: IP 주소, MAC, 호스트 이름, 타사 애셋 식별자).
    • target.registry.registry_key: 모든 레지스트리 이벤트는 영향을 받는 레지스트리 키를 포함해야 합니다.

선택사항:

  • security_result: 감지된 악성 활동을 설명합니다. 예를 들어 레지스트리 키가 잘못되었을 수 있습니다.
  • principal.user: 프로세스에 대해 사용 가능한 사용자 정보가 있으면 입력합니다.
REGISTRY_MODIFICATION의 UDM 예시

다음 예시는 Chronicle UDM 구문을 사용하여 Proto3에서 REGISTRY_MODIFICATION 이벤트 형식을 지정하는 방법을 보여줍니다.

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

  • metadata: 이벤트에 대한 백그라운드 정보입니다.
  • principal: 기기, 사용자, 프로세스 세부정보입니다.
  • target: 수정으로 영향을 받는 레지스트리 항목입니다.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

필수 필드:

  • extensions: SCAN_VULN_HOST 및 SCAN_VULN_NETWORK의 경우 extensions.vuln 필드를 사용하여 취약점을 정의합니다.
  • metadata: event_timestamp
  • observer: 스캐너 자체에 대해 정보를 캡처합니다. 스캐너가 원격이면 관찰자 필드로 머신 세부정보를 캡처해야 합니다. 로컬 스캐너의 경우 비워둡니다.
  • target: 스캔 중인 객체를 저장하는 머신에 대한 정보를 캡처합니다. 파일을 스캔하는 경우 target.file이 스캔한 파일에 대한 정보를 캡처해야 합니다. 프로세스를 스캔하는 경우에는 target.process가 스캔한 프로세스에 대한 정보를 캡처해야 합니다.

선택적 필드:

  • target: 대상 객체에 대한 사용자 세부정보(예: 파일 생성자 또는 프로세스 소유자)를 target.user에서 캡처해야 합니다.
  • security_result: 감지된 악성 활동을 설명합니다.
SCAN_HOST의 UDM 예시

다음 예시는 Chronicle UDM에 대해 SCAN_HOST 유형의 이벤트 형식을 지정하는 방법을 보여줍니다.

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200.200"
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

  • metadata: 이벤트에 대한 백그라운드 정보입니다.
  • target: 악성 소프트웨어가 수신된 기기입니다.
  • observer: 문제의 이벤트를 관찰하고 보고하는 기기입니다.
  • security_result: 악성 소프트웨어에 대한 보안 세부정보입니다.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

필수 필드:

  • principal: 모든 SCHEDULED_TASK 이벤트에 대해 principal은 머신 식별자와 사용자 식별자를 포함해야 합니다.
  • target: 대상은 유효한 리소스 및 'TASK'로 정의된 리소스 유형을 포함해야 합니다.

선택적 필드:

  • security_result: 감지된 악성 활동을 설명합니다.
SCHEDULED_TASK_CREATION의 UDM 예시

다음 예시는 Chronicle UDM에 대해 SCHEDULED_TASK_CREATION 유형의 이벤트 형식을 지정하는 방법을 보여줍니다.

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

  • metadata: 이벤트에 대한 백그라운드 정보입니다.
  • principal: 의심스러운 태스크를 예약한 기기입니다.
  • target: 의심스러운 태스크의 대상으로 지정된 소프트웨어입니다.
  • intermediary: 의심스러운 태스크와 관련된 중개자입니다.
  • security_result: 의심스러운 태스크에 대한 보안 세부정보입니다.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

필수 필드:

  • principal: 비어 있지 않고 존재해야 하며 머신 식별자를 포함해야 합니다.
  • target: 비어 있지 않고 존재해야 하며 SETTING으로 지정된 유형의 리소스를 포함해야 합니다.
이벤트 유형 SETTING_MODIFICATION의 UDM 예시

다음 예시에서는 Cheronicle UDM의 SETTING_MODIFICATION 유형 이벤트 서식이 지정되는 방식을 보여줍니다.

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

  • metadata: 이벤트에 대한 백그라운드 정보입니다.
  • principal: 설정이 수정된 기기에 대한 정보입니다.
  • target: 리소스 세부정보입니다.

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

필수 필드:

  • target: 사용자 식별자를 포함하고 프로세스나 애플리케이션을 지정합니다.
  • principal: 머신 식별자를 최소 하나 이상 포함합니다(IP 또는 MAC 주소, 호스트 이름 또는 애셋 식별자).
SERVICE_UNSPECIFIED의 UDM 예시

다음 예시에서는 Chronicle UDM의 SERVICE_UNSPECIFIED 유형 이벤트 서식이 지정되는 방식을 보여줍니다.

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

  • metadata: 이벤트에 대한 백그라운드 정보입니다.
  • principal: 기기 및 위치 세부정보입니다.
  • target: 호스트 이름 및 사용자 식별자입니다.
  • application: 애플리케이션 이름과 리소스 유형입니다.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

필수 필드:

  • metadata: 필수 필드를 포함합니다.
  • principal: 하나 이상의 머신 식별자입니다(IP 또는 MAC ADDRESS, 호스트 이름, 애셋 식별자).
STATUS_HEARTBEAT의 UDM 예시

다음 예시는 Chronicle UDM에 대해 STATUS_HEARTBEAT 유형의 이벤트 형식을 지정하는 방법을 보여줍니다.

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

  • metadata: 이벤트에 대한 백그라운드 정보입니다.
  • principal: 기기 및 위치 세부정보입니다.
  • intermediary: 기기 IP 주소입니다.
  • security_result: 보안 결과 세부정보입니다.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

필수 필드:

  • principal: 로그에서 작업을 수행한 사용자에 대한 사용자 식별자와 해당 로그가 저장된 또는 지워진 경우에는 저장되었던 머신의 머신 식별자를 포함합니다.
SYSTEM_AUDIT_LOG_WIPE의 UDM 예시

다음 예시는 Chronicle UDM에 대해 SYSTEM_AUDIT_LOG_WIPE 유형의 이벤트 형식을 지정하는 방법을 보여줍니다.

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

이 예시에 표시된 것처럼 이 이벤트는 다음과 같은 UDM 카테고리로 구분됩니다.

  • metadata: 이벤트에 대한 백그라운드 정보입니다.
  • principal: 기기 및 사용자 세부정보입니다.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

필수 필드:

  • metadata: 필수 필드를 포함합니다.
  • principal: 사용자 계정이 원격 위치에서 수정된 경우 주 구성원에 사용자 수정이 시작된 머신에 대한 정보를 채웁니다.
  • target: target.user에 수정된 사용자에 대한 정보를 채웁니다.
  • intermediary: SSO 로그인의 경우 중개자에 SSO 서버에 사용 가능한 하나 이상의 머신 식별자가 포함되어야 합니다.

USER_COMMUNICATION

필수 필드:

  • principal: principal.user 필드에 사용자 시작(발신자) 통신과 연관된 세부정보를 입력합니다. 여기에는 Google Chat 또는 Slack의 채팅, Zoom 또는 Google Meet의 동영상 또는 음성 회의, VoIP 연결 등이 포함됩니다.

선택적 필드:

  • target:(권장) target.user 필드에 클라우드 통신 리소스의 대상 사용자(수신자)에 대한 정보를 입력합니다. target.application 필드에 대상 클라우드 통신 애플리케이션에 대한 정보를 입력합니다.

USER_CREATION, USER_DELETION

필수 필드:

  • metadata: event_timestamp
  • principal: 사용자 만들기 또는 삭제 요청이 시작된 머신에 대한 정보를 포함합니다. 로컬 사용자 만들기 또는 삭제를 위해서는 principal에 시작 머신에 대한 머신 식별자가 하나 이상 포함되어야 합니다.
  • target: 사용자가 생성되는 위치입니다. 또한 사용자 정보를 포함해야 합니다(예: target.user).

선택적 필드:

  • principal: 사용자 생성 또는 삭제 요청이 시작된 머신의 사용자 및 프로세스 세부정보입니다.
  • target: 대상 머신에 대한 정보입니다(principal 머신과 다른 경우).

USER_LOGIN, USER_LOGOUT

필수 필드:

  • metadata: 필수 필드를 포함합니다.
  • principal: 원격 사용자 활동(예: 원격 로그인)의 경우 주 구성원에 사용자 활동을 시작하는 머신에 대한 정보를 채웁니다. 로컬 사용자 활동(예: 로컬 로그인)의 경우 주 구성원을 설정하지 마세요.
  • target: target.user에 로그온했거나 로그오프한 사용자에 대한 정보를 채웁니다. 주 구성원이 설정되지 않은 경우(예: 로컬 로그인) 대상에는 대상 머신을 식별하는 머신 식별자가 최소 하나 이상 포함되어야 합니다. 머신 간 사용자 활동(예: 원격 로그인, SSO, 클라우드 서비스, VPN)의 경우 대상에는 대상 애플리케이션, 대상 머신 또는 대상 VPN 서버에 대한 정보가 포함되어야 합니다.
  • intermediary: SSO 로그인의 경우 중개자에 SSO 서버에 사용 가능한 하나 이상의 머신 식별자가 포함되어야 합니다.
  • networknetwork.http: HTTP를 통해 로그인이 수행될 경우 network.ip_protocol, network.application_protocol, network.http에 사용 가능한 모든 세부정보를 배치해야 합니다.
  • authentication 확장: 이벤트가 관련된 인증 시스템 유형(예: 머신, SSO, VPN)과 사용된 메커니즘(사용자 이름 및 비밀번호, OTP 등)을 식별해야 합니다.
  • security_result: 실패했을 때 로그인 상태를 나타내도록 security_result 필드를 추가합니다. 인증이 실패하면 security_result.category에 AUTH_VIOLATION 값을 지정합니다.

USER_RESOURCE_ACCESS

필수 필드:

  • principal: principal.user 필드에 클라우드 리소스에 액세스하려는 시도에 대한 세부정보를 입력합니다(예: Salesforce 케이스, Office365 캘린더, Google 문서, ServiceNow 티켓).
  • target: target.resource 필드에 대상 클라우드 리소스에 대한 정보를 입력합니다.

선택적 필드:

  • target.application:(권장) target.application 필드에 대상 클라우드 애플리케이션에 대한 정보를 입력합니다.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

필수 필드:

  • principal: principal.user 필드에 클라우드 리소스 내에서 생성된 사용자와 연관된 세부정보를 입력합니다(예: Salesforce 케이스, Office365 캘린더, Google 문서, ServiceNow 티켓).
  • target: target.resource 필드에 대상 클라우드 리소스에 대한 정보를 입력합니다.

선택적 필드:

  • target.application:(권장) target.application 필드에 대상 클라우드 애플리케이션에 대한 정보를 입력합니다.

USER_RESOURCE_UPDATE_CONTENT

필수 필드:

  • principal: principal.user 필드에 클라우드 리소스 내에서 콘텐츠가 업데이트된 사용자와 연관된 세부정보를 입력합니다(예: Salesforce 케이스, Office365 캘린더, Google 문서, ServiceNow 티켓).
  • target: target.resource 필드에 대상 클라우드 리소스에 대한 정보를 입력합니다.

선택적 필드:

  • target.application:(권장) target.application 필드에 대상 클라우드 애플리케이션에 대한 정보를 입력합니다.

USER_RESOURCE_UPDATE_PERMISSIONS

필수 필드:

  • principal: principal.user 필드에 클라우드 리소스 내에서 권한이 업데이트된 사용자와 연관된 세부정보를 입력합니다(예: Salesforce 케이스, Office365 캘린더, Google 문서, ServiceNow 티켓).
  • target: target.resource 필드에 대상 클라우드 리소스에 대한 정보를 입력합니다.

선택적 필드:

  • target.application:(권장) target.application 필드에 대상 클라우드 애플리케이션에 대한 정보를 입력합니다.

USER_UNCATEGORIZED

필수 필드:

  • metadata: event_timestamp
  • principal: 사용자 만들기 또는 삭제 요청이 시작된 머신에 대한 정보를 포함합니다. 로컬 사용자 만들기 또는 삭제를 위해서는 principal에 시작 머신에 대한 머신 식별자가 하나 이상 포함되어야 합니다.
  • target: 사용자가 생성되는 위치입니다. 또한 사용자 정보를 포함해야 합니다(예: target.user).

선택적 필드:

  • principal: 사용자 생성 또는 삭제 요청이 시작된 머신의 사용자 및 프로세스 세부정보입니다.
  • target: 대상 머신에 대한 정보입니다(principal 머신과 다른 경우).