BeyondTrust Endpoint Privilege Management (EPM) 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Google Cloud Storage를 사용하여 BeyondTrust Endpoint Privilege Management (EPM) 로그를 Google Security Operations로 수집하는 방법을 설명합니다. 파서는 BeyondTrust Endpoint의 원시 JSON 로그 데이터를 Chronicle UDM을 준수하는 구조화된 형식으로 변환하는 데 중점을 둡니다. 먼저 다양한 필드의 기본값을 초기화한 다음 JSON 페이로드를 파싱하고, 이후 원시 로그의 특정 필드를 event.idm.read_only_udm 객체 내의 해당 UDM 필드에 매핑합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Cloud Storage API가 사용 설정된 GCP 프로젝트
- GCS 버킷을 만들고 관리할 수 있는 권한
- GCS 버킷의 IAM 정책을 관리할 수 있는 권한
- Cloud Run 서비스, Pub/Sub 주제, Cloud Scheduler 작업을 만들 수 있는 권한
- BeyondTrust Endpoint Privilege Management 테넌트 또는 API에 대한 권한 있는 액세스
Google Cloud Storage 버킷 만들기
- Google Cloud Console로 이동합니다.
- 프로젝트를 선택하거나 새 프로젝트를 만듭니다.
- 탐색 메뉴에서 Cloud Storage> 버킷으로 이동합니다.
- 버킷 만들기를 클릭합니다.
다음 구성 세부정보를 제공합니다.
설정 값 버킷 이름 지정 전역적으로 고유한 이름 (예: beyondtrust-epm-logs)을 입력합니다.위치 유형 필요에 따라 선택 (리전, 이중 리전, 멀티 리전) 위치 위치를 선택합니다 (예: us-central1).스토리지 클래스 Standard (자주 액세스하는 로그에 권장) 액세스 제어 균일 (권장) 보호 도구 선택사항: 객체 버전 관리 또는 보관 정책 사용 설정 만들기를 클릭합니다.
BeyondTrust EPM API 사용자 인증 정보 수집
- 관리자로 BeyondTrust Privilege Management 웹 콘솔에 로그인합니다.
- 구성 > 설정 > API 설정으로 이동합니다.
- API 계정 만들기를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 이름 —
Google SecOps Collector를 입력합니다. - API 액세스: 감사 (읽기) 및 기타 범위를 필요에 따라 사용 설정합니다.
- 이름 —
- 클라이언트 ID와 클라이언트 보안 비밀번호를 복사하여 저장합니다.
- API 기본 URL을 복사합니다. 일반적으로
https://<your-tenant>-services.pm.beyondtrustcloud.com입니다 (BPT_API_URL로 사용됨).
Cloud Run 함수의 서비스 계정 만들기
Cloud Run 함수에는 GCS 버킷에 쓸 수 있고 Pub/Sub에서 호출할 수 있는 권한이 있는 서비스 계정이 필요합니다.
서비스 계정 만들기
- GCP 콘솔에서 IAM 및 관리자 > 서비스 계정으로 이동합니다.
- 서비스 계정 만들기를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 서비스 계정 이름:
beyondtrust-epm-collector-sa을 입력합니다. - 서비스 계정 설명:
Service account for Cloud Run function to collect BeyondTrust EPM logs을 입력합니다.
- 서비스 계정 이름:
- 만들고 계속하기를 클릭합니다.
- 이 서비스 계정에 프로젝트에 대한 액세스 권한 부여 섹션에서 다음 역할을 추가합니다.
- 역할 선택을 클릭합니다.
- 스토리지 객체 관리자를 검색하여 선택합니다.
- + 다른 역할 추가를 클릭합니다.
- Cloud Run 호출자를 검색하여 선택합니다.
- + 다른 역할 추가를 클릭합니다.
- Cloud Functions 호출자를 검색하여 선택합니다.
- 계속을 클릭합니다.
- 완료를 클릭합니다.
이러한 역할은 다음 작업에 필요합니다.
- 스토리지 객체 관리자: GCS 버킷에 로그를 쓰고 상태 파일을 관리합니다.
- Cloud Run 호출자: Pub/Sub가 함수를 호출하도록 허용
- Cloud Functions 호출자: 함수 호출 허용
GCS 버킷에 대한 IAM 권한 부여
GCS 버킷에 대한 쓰기 권한을 서비스 계정에 부여합니다.
- Cloud Storage> 버킷으로 이동합니다.
- 버킷 이름을 클릭합니다.
- 권한 탭으로 이동합니다.
- 액세스 권한 부여를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 주 구성원 추가: 서비스 계정 이메일 (예:
beyondtrust-epm-collector-sa@PROJECT_ID.iam.gserviceaccount.com)을 입력합니다. - 역할 할당: 스토리지 객체 관리자를 선택합니다.
- 주 구성원 추가: 서비스 계정 이메일 (예:
- 저장을 클릭합니다.
게시/구독 주제 만들기
Cloud Scheduler가 게시하고 Cloud Run 함수가 구독할 Pub/Sub 주제를 만듭니다.
- GCP Console에서 Pub/Sub > 주제로 이동합니다.
- 주제 만들기를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 주제 ID:
beyondtrust-epm-trigger를 입력합니다. - 다른 설정은 기본값으로 둡니다.
- 주제 ID:
- 만들기를 클릭합니다.
로그를 수집하는 Cloud Run 함수 만들기
Cloud Run 함수는 Cloud Scheduler의 Pub/Sub 메시지에 의해 트리거되어 BeyondTrust EPM API에서 로그를 가져오고 이를 GCS에 기록합니다.
- GCP 콘솔에서 Cloud Run으로 이동합니다.
- 서비스 만들기를 클릭합니다.
- 함수를 선택합니다 (인라인 편집기를 사용하여 함수 만들기).
구성 섹션에서 다음 구성 세부정보를 제공합니다.
설정 값 서비스 이름 beyondtrust-epm-collector리전 GCS 버킷과 일치하는 리전을 선택합니다 (예: us-central1).런타임 Python 3.12 이상 선택 트리거 (선택사항) 섹션에서 다음을 수행합니다.
- + 트리거 추가를 클릭합니다.
- Cloud Pub/Sub를 선택합니다.
- Cloud Pub/Sub 주제 선택에서
beyondtrust-epm-trigger주제를 선택합니다. - 저장을 클릭합니다.
인증 섹션에서 다음을 구성합니다.
- 인증 필요를 선택합니다.
- ID 및 액세스 관리 (IAM)를 확인합니다.
아래로 스크롤하고 컨테이너, 네트워킹, 보안을 펼칩니다.
보안 탭으로 이동합니다.
- 서비스 계정: 서비스 계정
beyondtrust-epm-collector-sa를 선택합니다.
- 서비스 계정: 서비스 계정
컨테이너 탭으로 이동합니다.
- 변수 및 보안 비밀을 클릭합니다.
- 각 환경 변수에 대해 + 변수 추가를 클릭합니다.
변수 이름 예시 값 GCS_BUCKETbeyondtrust-epm-logsGCS_PREFIXbeyondtrust-epm/STATE_KEYbeyondtrust-epm/state.jsonBPT_API_URLhttps://yourtenant-services.pm.beyondtrustcloud.comCLIENT_IDyour-client-idCLIENT_SECRETyour-client-secretOAUTH_SCOPEmanagement-apiRECORD_SIZE1000MAX_ITERATIONS10변수 및 보안 비밀 탭에서 요청까지 아래로 스크롤합니다.
- 요청 제한 시간:
600초 (10분)를 입력합니다.
- 요청 제한 시간:
컨테이너의 설정 탭으로 이동합니다.
- 리소스 섹션에서 다음을 수행합니다.
- 메모리: 512MiB 이상을 선택합니다.
- CPU: 1을 선택합니다.
- 완료를 클릭합니다.
- 리소스 섹션에서 다음을 수행합니다.
실행 환경으로 스크롤합니다.
- 기본을 선택합니다 (권장).
버전 확장 섹션에서 다음을 수행합니다.
- 최소 인스턴스 수:
0를 입력합니다. - 최대 인스턴스 수:
100을 입력합니다 (또는 예상 부하에 따라 조정).
- 최소 인스턴스 수:
만들기를 클릭합니다.
서비스가 생성될 때까지 기다립니다 (1~2분).
서비스가 생성되면 인라인 코드 편집기가 자동으로 열립니다.
함수 코드 추가
- 함수 진입점에 main을 입력합니다.
인라인 코드 편집기에서 다음 두 파일을 만듭니다.
- 첫 번째 파일: main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone, timedelta import time # Initialize HTTP client http = urllib3.PoolManager() # Initialize Storage client storage_client = storage.Client() @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch logs from BeyondTrust EPM API and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ # Get environment variables bucket_name = os.environ.get('GCS_BUCKET') prefix = os.environ.get('GCS_PREFIX', 'beyondtrust-epm/') state_key = os.environ.get('STATE_KEY', 'beyondtrust-epm/state.json') # BeyondTrust EPM API credentials api_url = os.environ.get('BPT_API_URL') client_id = os.environ.get('CLIENT_ID') client_secret = os.environ.get('CLIENT_SECRET') oauth_scope = os.environ.get('OAUTH_SCOPE', 'management-api') record_size = int(os.environ.get('RECORD_SIZE', '1000')) max_iterations = int(os.environ.get('MAX_ITERATIONS', '10')) if not all([bucket_name, api_url, client_id, client_secret]): print('Error: Missing required environment variables') return try: # Get GCS bucket bucket = storage_client.bucket(bucket_name) # Load state (last processed timestamp) state = load_state(bucket, state_key) last_timestamp = state.get('last_timestamp', (datetime.utcnow() - timedelta(hours=24)).strftime("%Y-%m-%dT%H:%M:%SZ")) print(f'Processing logs since {last_timestamp}') # Get OAuth access token token = get_oauth_token(api_url, client_id, client_secret, oauth_scope) # Fetch audit events events = fetch_audit_events(api_url, token, last_timestamp, record_size, max_iterations) if events: # Store events in GCS current_timestamp = datetime.utcnow() filename = f"{prefix}beyondtrust-epm-events-{current_timestamp.strftime('%Y%m%d_%H%M%S')}.json" store_events_to_gcs(bucket, filename, events) # Update state with latest timestamp latest_timestamp = get_latest_event_timestamp(events) save_state(bucket, state_key, {'last_timestamp': latest_timestamp, 'updated_at': datetime.utcnow().isoformat() + 'Z'}) print(f'Successfully processed {len(events)} events and stored to {filename}') else: print('No new events found') except Exception as e: print(f'Error processing logs: {str(e)}') raise def get_oauth_token(api_url, client_id, client_secret, scope): """ Get OAuth access token using client credentials flow for BeyondTrust EPM. Uses the correct endpoint: /oauth/token """ token_url = f"{api_url}/oauth/token" headers = {'Content-Type': 'application/x-www-form-urlencoded'} body = f"grant_type=client_credentials&client_id={client_id}&client_secret={client_secret}&scope={scope}" response = http.request('POST', token_url, headers=headers, body=body, timeout=urllib3.Timeout(60.0)) if response.status != 200: raise RuntimeError(f"Token request failed: {response.status} {response.data[:256]!r}") token_data = json.loads(response.data.decode('utf-8')) return token_data['access_token'] def fetch_audit_events(api_url, access_token, last_timestamp, record_size, max_iterations): """ Fetch audit events using the BeyondTrust EPM API endpoint: /management-api/v2/AuditEvents with query parameters for filtering and pagination """ headers = { 'Authorization': f'Bearer {access_token}', 'Content-Type': 'application/json' } all_events = [] current_start_date = last_timestamp iterations = 0 # Enforce maximum RecordSize limit of 1000 based on BeyondTrust documentation record_size_limited = min(record_size, 1000) while iterations < max_iterations: iterations += 1 if len(all_events) >= 10000: print(f"Reached maximum events limit (10000)") break # Use the BeyondTrust EPM API endpoint for audit events query_url = f"{api_url}/management-api/v2/AuditEvents" params = { 'StartDate': current_start_date, 'RecordSize': record_size_limited } # Construct URL with query parameters query_string = '&'.join([f"{k}={v}" for k, v in params.items()]) full_url = f"{query_url}?{query_string}" try: response = http.request('GET', full_url, headers=headers, timeout=urllib3.Timeout(300.0)) # Handle rate limiting with exponential backoff if response.status == 429: retry_after = int(response.headers.get('Retry-After', '30')) print(f"Rate limited (429). Retrying after {retry_after}s...") time.sleep(retry_after) continue if response.status != 200: raise RuntimeError(f"API request failed: {response.status} {response.data[:256]!r}") response_data = json.loads(response.data.decode('utf-8')) events = response_data.get('events', []) if not events: break print(f"Page {iterations}: Retrieved {len(events)} events") all_events.extend(events) # If we got fewer events than RecordSize, we've reached the end if len(events) < record_size_limited: break # For pagination, update StartDate to the timestamp of the last event last_event = events[-1] last_timestamp = extract_event_timestamp(last_event) if not last_timestamp: print("Warning: Could not find timestamp in last event for pagination") break # Convert to datetime and add 1 second to avoid retrieving the same event again try: dt = parse_timestamp(last_timestamp) dt = dt + timedelta(seconds=1) current_start_date = dt.strftime("%Y-%m-%dT%H:%M:%SZ") except Exception as e: print(f"Error parsing timestamp {last_timestamp}: {e}") break except Exception as e: print(f"Error fetching page {iterations}: {e}") break return all_events def extract_event_timestamp(event): """Extract timestamp from event, checking multiple possible fields""" # Check common timestamp fields timestamp_fields = ['event.dateTime', 'event.timestamp', 'timestamp', 'eventTime', 'dateTime', 'whenOccurred', 'date', 'time', 'event.ingested'] # Try nested event.dateTime first (common in BeyondTrust) if isinstance(event, dict) and isinstance(event.get("event"), dict): ts = event["event"].get("dateTime") if ts: return ts ts = event["event"].get("timestamp") if ts: return ts # Fallback to other timestamp fields for field in timestamp_fields: if field in event and event[field]: return event[field] return None def parse_timestamp(timestamp_str): """Parse timestamp string to datetime object, handling various formats""" if isinstance(timestamp_str, (int, float)): # Unix timestamp (in milliseconds or seconds) if timestamp_str > 1e12: # Milliseconds return datetime.fromtimestamp(timestamp_str / 1000, tz=timezone.utc) else: # Seconds return datetime.fromtimestamp(timestamp_str, tz=timezone.utc) if isinstance(timestamp_str, str): # Try different string formats try: # ISO format with Z if timestamp_str.endswith('Z'): return datetime.fromisoformat(timestamp_str.replace('Z', '+00:00')) # ISO format with timezone elif '+' in timestamp_str or timestamp_str.endswith('00:00'): return datetime.fromisoformat(timestamp_str) # ISO format without timezone (assume UTC) else: dt = datetime.fromisoformat(timestamp_str) if dt.tzinfo is None: dt = dt.replace(tzinfo=timezone.utc) return dt except ValueError: pass raise ValueError(f"Could not parse timestamp: {timestamp_str}") def load_state(bucket, key): """Load state from GCS.""" try: blob = bucket.blob(key) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) except Exception as e: print(f'Warning: Could not load state: {str(e)}') return {} def save_state(bucket, key, state): """Save state to GCS.""" try: blob = bucket.blob(key) blob.upload_from_string( json.dumps(state), content_type='application/json' ) except Exception as e: print(f'Warning: Could not save state: {str(e)}') def store_events_to_gcs(bucket, key, events): """Store events as JSONL (one JSON object per line) in GCS""" # Convert to JSONL format (one JSON object per line) jsonl_content = '\n'.join(json.dumps(event, default=str) for event in events) blob = bucket.blob(key) blob.upload_from_string(jsonl_content, content_type='application/x-ndjson') def get_latest_event_timestamp(events): """Get the latest timestamp from the events for state tracking""" if not events: return datetime.utcnow().isoformat() + 'Z' latest = None for event in events: timestamp = extract_event_timestamp(event) if timestamp: try: event_dt = parse_timestamp(timestamp) event_iso = event_dt.isoformat() + 'Z' if latest is None or event_iso > latest: latest = event_iso except Exception as e: print(f"Error parsing event timestamp {timestamp}: {e}") continue return latest or datetime.utcnow().isoformat() + 'Z'- 두 번째 파일: requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0배포를 클릭하여 함수를 저장하고 배포합니다.
배포가 완료될 때까지 기다립니다 (2~3분).
Cloud Scheduler 작업 만들기
Cloud Scheduler는 일정 간격으로 Pub/Sub 주제에 메시지를 게시하여 Cloud Run 함수를 트리거합니다.
- GCP Console에서 Cloud Scheduler로 이동합니다.
- 작업 만들기를 클릭합니다.
다음 구성 세부정보를 제공합니다.
설정 값 이름 beyondtrust-epm-collector-hourly리전 Cloud Run 함수와 동일한 리전 선택 주파수 0 * * * *(매시간 정각)시간대 시간대 선택 (UTC 권장) 타겟 유형 Pub/Sub 주제 beyondtrust-epm-trigger주제를 선택합니다.메일 본문 {}(빈 JSON 객체)만들기를 클릭합니다.
일정 빈도 옵션
로그 볼륨 및 지연 시간 요구사항에 따라 빈도를 선택합니다.
빈도 크론 표현식 사용 사례 5분마다 */5 * * * *대용량, 저지연 15분마다 */15 * * * *검색량 보통 1시간마다 0 * * * *일반(권장) 6시간마다 0 */6 * * *양이 적은 일괄 처리 매일 0 0 * * *이전 데이터 수집
스케줄러 작업 테스트
- Cloud Scheduler 콘솔에서 작업을 찾습니다.
- 강제 실행을 클릭하여 수동으로 트리거합니다.
- 몇 초간 기다린 후 Cloud Run > 서비스 > beyondtrust-epm-collector > 로그로 이동합니다.
- 함수가 성공적으로 실행되었는지 확인합니다.
- GCS 버킷을 확인하여 로그가 작성되었는지 확인합니다.
Google SecOps 서비스 계정 가져오기
Google SecOps는 고유한 서비스 계정을 사용하여 GCS 버킷에서 데이터를 읽습니다. 이 서비스 계정에 버킷에 대한 액세스 권한을 부여해야 합니다.
서비스 계정 이메일 가져오기
- SIEM 설정> 피드로 이동합니다.
- 새 피드 추가를 클릭합니다.
- 단일 피드 구성을 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다(예:
BeyondTrust EPM logs). - 소스 유형으로 Google Cloud Storage V2를 선택합니다.
- 로그 유형으로 BeyondTrust Endpoint Privilege Management를 선택합니다.
서비스 계정 가져오기를 클릭합니다. 고유한 서비스 계정 이메일이 표시됩니다(예:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com다음 단계에서 사용할 수 있도록 이 이메일 주소를 복사합니다.
Google SecOps 서비스 계정에 IAM 권한 부여
Google SecOps 서비스 계정에는 GCS 버킷에 대한 스토리지 객체 뷰어 역할이 필요합니다.
- Cloud Storage> 버킷으로 이동합니다.
- 버킷 이름을 클릭합니다.
- 권한 탭으로 이동합니다.
- 액세스 권한 부여를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 주 구성원 추가: Google SecOps 서비스 계정 이메일을 붙여넣습니다.
- 역할 할당: 스토리지 객체 뷰어를 선택합니다.
저장을 클릭합니다.
BeyondTrust EPM 로그를 수집하도록 Google SecOps에서 피드 구성
- SIEM 설정> 피드로 이동합니다.
- 새 피드 추가를 클릭합니다.
- 단일 피드 구성을 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다(예:
BeyondTrust EPM logs). - 소스 유형으로 Google Cloud Storage V2를 선택합니다.
- 로그 유형으로 BeyondTrust Endpoint Privilege Management를 선택합니다.
- 다음을 클릭합니다.
다음 입력 매개변수의 값을 지정합니다.
스토리지 버킷 URL: 다음 접두사 경로를 사용하여 GCS 버킷 URI를 입력합니다.
gs://beyondtrust-epm-logs/beyondtrust-epm/다음과 같이 바꿉니다.
beyondtrust-epm-logs: GCS 버킷 이름입니다.beyondtrust-epm/: 로그가 저장되는 선택적 접두사/폴더 경로입니다 (루트의 경우 비워 둠).
예:
- 루트 버킷:
gs://beyondtrust-epm-logs/ - 접두사 사용:
gs://beyondtrust-epm-logs/beyondtrust-epm/
- 루트 버킷:
소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
- 삭제 안함: 전송 후 파일을 삭제하지 않습니다 (테스트에 권장).
- 전송된 파일 삭제: 전송이 완료되면 파일을 삭제합니다.
전송된 파일 및 빈 디렉터리 삭제: 전송이 완료되면 파일과 빈 디렉터리를 삭제합니다.
최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.
애셋 네임스페이스: 애셋 네임스페이스입니다.
수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
다음을 클릭합니다.
확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 로직 |
|---|---|---|
| agent.id | principal.asset.attribute.labels.value | 키가 agent_id인 라벨에 매핑됨 |
| agent.version | principal.asset.attribute.labels.value | 키가 agent_version인 라벨에 매핑됨 |
| ecs.version | principal.asset.attribute.labels.value | ecs_version 키가 있는 라벨에 매핑됨 |
| event_data.reason | metadata.description | 원시 로그의 이벤트 설명 |
| event_datas.ActionId | metadata.product_log_id | 제품별 로그 식별자 |
| file.path | principal.file.full_path | 이벤트의 전체 파일 경로 |
| headers.content_length | additional.fields.value.string_value | 주요 콘텐츠 길이로 라벨에 매핑됨 |
| headers.content_type | additional.fields.value.string_value | 키 content_type이 있는 라벨에 매핑됨 |
| headers.http_host | additional.fields.value.string_value | 키가 http_host인 라벨에 매핑됨 |
| headers.http_version | network.application_protocol_version | HTTP 프로토콜 버전 |
| headers.request_method | network.http.method | HTTP 요청 메서드 |
| host.hostname | principal.hostname | 기본 호스트 이름 |
| host.hostname | principal.asset.hostname | 기본 애셋 호스트 이름 |
| host.ip | principal.asset.ip | 기본 애셋 IP 주소 |
| host.ip | principal.ip | 주 구성원 IP 주소 |
| host.mac | principal.mac | 기본 MAC 주소 |
| host.os.platform | principal.platform | macOS와 같은 경우 MAC으로 설정 |
| host.os.version | principal.platform_version | 운영체제 버전 |
| labels.related_item_id | metadata.product_log_id | 관련 상품 식별자 |
| process.command_line | principal.process.command_line | 프로세스 명령줄 |
| process.name | additional.fields.value.string_value | 키가 process_name인 라벨에 매핑됨 |
| process.parent.name | additional.fields.value.string_value | 키가 process_parent_name인 라벨에 매핑됨 |
| process.parent.pid | principal.process.parent_process.pid | 상위 프로세스 PID가 문자열로 변환됨 |
| process.pid | principal.process.pid | 문자열로 변환된 프로세스 PID |
| user.id | principal.user.userid | 사용자 식별자 |
| user.name | principal.user.user_display_name | 사용자 표시 이름 |
| 해당 사항 없음 | metadata.event_timestamp | 로그 항목 타임스탬프로 설정된 이벤트 타임스탬프 |
| 해당 사항 없음 | metadata.event_type | 주체가 없는 경우 GENERIC_EVENT, 그렇지 않은 경우 STATUS_UPDATE |
| 해당 사항 없음 | network.application_protocol | http_version 필드에 HTTP가 포함된 경우 HTTP로 설정 |
도움이 더 필요한가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.