Cisco FireSIGHT Management Center 로그 수집

다음에서 지원:

Google secops SIEM

이 문서에서는 Bindplane 에이전트를 사용하여 Cisco FireSIGHT Management Center 로그를 Google Security Operations로 수집하는 방법을 설명합니다.

이전에 FireSIGHT Management Center 또는 Firepower Management Center로 알려진 Cisco FireSIGHT Management Center (FMC)는 Cisco Secure Firewall Threat Defense 기기에 대한 포괄적인 정책 관리, 이벤트 분석, 보고를 제공하는 중앙 집중식 관리 콘솔입니다. FMC는 syslog를 통해 연결 이벤트, 보안 인텔리전스 이벤트, 침입 이벤트, 파일 이벤트, 멀웨어 이벤트를 외부 SIEM 시스템으로 전송할 수 있습니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

Google SecOps 인스턴스
Windows Server 2016 이상 또는 systemd가 설치된 Linux 호스트
Bindplane 에이전트와 Cisco FireSIGHT Management Center 간의 네트워크 연결
프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
Cisco FireSIGHT Management Center 웹 인터페이스에 대한 권한 있는 액세스
FMC의 관리자 또는 보안 분석가 사용자 역할

Google SecOps 수집 인증 파일 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 수집 에이전트로 이동합니다.
수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

참고: 이 JSON 파일에는 Bindplane 에이전트를 Google SecOps에 인증하기 위한 사용자 인증 정보가 포함되어 있습니다.

Google SecOps 고객 ID 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

참고: Bindplane 에이전트 내보내기를 구성하려면 customer ID이 필요합니다.

Bindplane 에이전트 설치

다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.

Windows 설치
1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
2. 다음 명령어를 실행합니다.
```
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```
3. 설치가 완료될 때까지 기다립니다.
4. 다음을 실행하여 설치를 확인합니다.
```
sc query observiq-otel-collector
```
  서비스가 실행 중으로 표시되어야 합니다.
Linux 설치
1. 루트 또는 sudo 권한으로 터미널을 엽니다.
2. 다음 명령어를 실행합니다.
```
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```
3. 설치가 완료될 때까지 기다립니다.
4. 다음을 실행하여 설치를 확인합니다.
```
sudo systemctl status observiq-otel-collector
```
서비스가 active (running)으로 표시되어야 합니다.

추가 설치 리소스

추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.

syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

구성 파일 찾기

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

구성 파일 설정

config.yaml의 전체 내용을 다음 구성으로 바꿉니다.

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_fmc:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_FIRESIGHT
        raw_log_field: body
        ingestion_labels:
            env: production
            source: fmc

service:
    pipelines:
        logs/fmc_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_fmc

다음 자리표시자를 바꿉니다.
- 수신기 구성:
  - listen_address: UDP 포트 51의 모든 인터페이스에서 수신 대기하려면 0.0.0.0:514로 설정합니다. 포트 514에 Linux의 루트 권한이 필요한 경우 포트 1514을 대신 사용하고 해당 포트로 전송하도록 FMC를 구성합니다.
- 내보내기 도구 구성:
  - creds_file_path: 수집 인증 파일의 전체 경로
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID: customer ID로 바꿉니다. 자세한 내용은 Google SecOps 고객 ID 가져오기를 참고하세요.
  - endpoint: 리전 엔드포인트 URL:
    - 미국: malachiteingestion-pa.googleapis.com
    - 유럽: europe-malachiteingestion-pa.googleapis.com
    - 아시아: asia-southeast1-malachiteingestion-pa.googleapis.com
  - log_type: CISCO_FIRESIGHT로 설정 (일치검색 필요)
  - ingestion_labels: 필터링 및 구성을 위한 선택적 라벨

구성 파일 저장

수정 후 파일을 저장합니다.

Linux: Ctrl+O, Enter, Ctrl+X 순서로 누릅니다.
Windows: 파일 > 저장을 클릭합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 단계를 따르세요.
1. 다음 명령어를 실행합니다.
```
sudo systemctl restart observiq-otel-collector
```
2. 서비스가 실행 중인지 확인합니다.
```
sudo systemctl status observiq-otel-collector
```
3. 로그에서 오류를 확인합니다.
```
sudo journalctl -u observiq-otel-collector -f
```
Windows에서 Bindplane 에이전트를 다시 시작하려면 다음 단계를 따르세요.
1. 다음 옵션 중 하나를 선택합니다.
  - 명령 프롬프트 또는 PowerShell(관리자 권한)
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - 서비스 콘솔:
    1. Win+R 키를 누르고 services.msc을 입력한 다음 Enter 키를 누릅니다.
    2. observIQ OpenTelemetry Collector를 찾습니다.
    3. 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.
2. 서비스가 실행 중인지 확인합니다.
```
sc query observiq-otel-collector
```
3. 로그에서 오류를 확인합니다.
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Cisco FireSIGHT Management Center syslog 전달 구성

이 섹션에서는 Firepower Threat Defense 기기에서 Bindplane 에이전트로 보안 이벤트 syslog 메시지 (연결, 보안 인텔리전스, 침입, 파일, 멀웨어 이벤트)를 전송하도록 FMC를 구성하는 방법을 설명합니다.

Firepower Threat Defense 기기의 syslog 설정 구성

Cisco FireSIGHT Management Center 웹 인터페이스에 로그인합니다.
기기 > 플랫폼 설정으로 이동합니다.
Firepower Threat Defense 기기와 연결된 플랫폼 설정 정책을 수정하거나 새 정책을 만듭니다.
왼쪽 탐색창에서 Syslog를 클릭합니다.
Syslog Servers(Syslog 서버)를 클릭하고 Add(추가)를 클릭하여 새 syslog 서버를 구성합니다.
다음 구성 세부정보를 제공합니다.
- IP 주소: Bindplane 에이전트 호스트의 IP 주소를 입력합니다 (예: 192.168.1.100).
- 프로토콜: UDP를 선택합니다.
- 포트: 514를 입력합니다 (또는 권한이 없는 포트에서 수신 대기하도록 Bindplane을 구성한 경우 1514).
- 인터페이스: 관리 인터페이스 또는 Bindplane 에이전트에 연결할 수 있는 인터페이스를 선택합니다.
확인을 클릭하여 시스템로그 서버 구성을 저장합니다.
Syslog Settings(Syslog 설정)을 클릭하고 다음 설정을 구성합니다.
- Enable Timestamp on Syslog Messages(Syslog 메시지에 타임스탬프 사용 설정)를 선택합니다.
- 타임스탬프 형식: ISO 8601을 선택합니다 (Chronicle에 권장됨).
- Syslog 기기 ID 사용을 선택하고 원하는 경우 맞춤 기기 식별자를 입력합니다.
로깅 설정을 클릭합니다.
EMBLEM 형식으로 시스템 로그를 전송할지 여부를 선택합니다. Chronicle 수집의 경우 두 형식 모두 지원됩니다.
저장을 클릭하여 플랫폼 설정 정책을 저장합니다.

액세스 제어 정책 로깅 설정 구성

Cisco FireSIGHT Management Center 웹 인터페이스에서 Policies> Access Control로 이동합니다.
해당 액세스 제어 정책을 수정합니다.
로깅 탭을 클릭합니다.
FTD 6.3 이상: 기기에 배포된 FTD 플랫폼 설정 정책에 구성된 syslog 설정 사용을 선택합니다.
Syslog 심각도 수준(예: 정보 또는 알림)을 선택합니다(선택사항).
파일 및 멀웨어 이벤트를 전송하는 경우 파일 및 멀웨어 이벤트에 대한 Syslog 메시지 전송을 선택합니다.
저장을 클릭합니다.

보안 인텔리전스 이벤트 로깅 사용 설정

동일한 액세스 제어 정책에서 보안 인텔리전스 탭을 클릭합니다.
다음 각 위치에서 로깅을 클릭하고 로깅을 사용 설정합니다.
- DNS 정책 옆에서 로깅을 클릭하고 연결 시작 시 로깅 및 연결 종료 시 로깅을 사용 설정한 후 Syslog 서버를 사용 설정합니다.
- 네트워크의 차단 목록 상자에서 로깅을 클릭하고 연결 시작 시 로깅 및 연결 종료 시 로깅을 사용 설정하고 Syslog 서버를 사용 설정합니다.
- URL의 차단 목록 상자에서 로깅을 클릭하고 연결 시작 시 로깅 및 연결 종료 시 로깅을 사용 설정하고 Syslog 서버를 사용 설정합니다.
저장을 클릭합니다.

액세스 제어 규칙에 대한 syslog 로깅 사용 설정

동일한 액세스 제어 정책에서 규칙 탭을 클릭합니다.
수정할 규칙을 클릭합니다.
규칙에서 로깅 탭을 클릭합니다.
연결 시작 또는 종료를 기록할지 아니면 둘 다 기록할지 선택합니다.
- 연결 시작 시 로깅을 선택합니다 (높은 볼륨 생성).
- 연결 종료 시 로깅을 선택합니다 (대부분의 사용 사례에 권장됨).
파일 이벤트를 로깅하는 경우 로그 파일을 확인하세요.
시스템 로그 서버를 선택합니다.
규칙이 액세스 제어 로깅에서 기본 syslog 구성 사용인지 확인합니다. 재정의를 구성하지 마세요.
추가를 클릭하여 규칙을 저장합니다.
로깅하려는 정책의 각 규칙에 대해 2~8단계를 반복합니다.

침입 정책 syslog 설정 구성

정책 > 침입으로 이동합니다.
액세스 제어 정책과 연결된 침입 정책을 수정합니다.
고급 설정> Syslog 알림을 클릭합니다.
Syslog Alerting을 Enabled로 설정합니다.
Syslog Alerting 옆에 있는 Edit을 클릭합니다.
다음 설정을 구성합니다.
- 로깅 호스트: FTD 플랫폼 설정에 구성된 syslog 설정을 사용하려면 이 항목을 비워 둡니다. 여기에 로깅 호스트를 지정하는 경우 Facility 및 Severity도 구성해야 합니다.
- 시설: 로깅 호스트를 지정한 경우에만 적용됩니다. 시설 (예: AUTH 또는 LOCAL0)을 선택합니다.
- 심각도: 로깅 호스트를 지정한 경우에만 적용됩니다. 심각도 수준 (예: 정보 또는 알림)을 선택합니다.
뒤로를 클릭합니다.
왼쪽 탐색창에서 정책 정보를 클릭합니다.
변경사항 커밋을 클릭합니다.

구성 변경사항 배포

모든 syslog 설정을 구성한 후 변경사항을 관리 기기에 배포합니다.
Cisco FireSIGHT Management Center 웹 인터페이스의 오른쪽 상단에 있는 Deploy(배포)를 클릭합니다.
구성을 배포할 기기를 선택합니다.
배포를 클릭하여 변경사항을 적용합니다.

syslog 전달 확인

Firepower Threat Defense 기기에서 테스트 트래픽 또는 보안 이벤트를 생성합니다.
Bindplane 에이전트 로그를 확인하여 syslog 메시지가 수신되는지 확인합니다.

Linux:

sudo journalctl -u observiq-otel-collector -f

Windows:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Google SecOps 콘솔에 로그인하여 이벤트가 이벤트 뷰어에 표시되는지 확인합니다.

참고: 초기 구성 후 이벤트가 Google SecOps에 표시되기까지 최대 15분이 걸릴 수 있습니다.

지원되는 이벤트 유형

Cisco FireSIGHT Management Center는 syslog를 통해 다음 이벤트 유형을 Google SecOps에 전송할 수 있습니다.

이벤트 유형	설명
연결 이벤트	모니터링된 호스트와 기타 모든 호스트 간의 네트워크 연결 데이터
보안 인텔리전스 이벤트	보안 인텔리전스 차단 목록 (IP, URL, DNS)과 관련된 이벤트
침입 이벤트	관리 기기에서 생성된 침입 감지 및 방지 이벤트
파일 이벤트	파일 분석 이벤트
멀웨어 이벤트	멀웨어 감지 이벤트

Syslog 메시지 형식

Cisco FireSIGHT Management Center는 다음과 같은 형식으로 syslog 메시지를 전송합니다.

연결 이벤트의 예:

<134>1 2024-01-15T10:15:45.123Z fmc-hostname %FTD-6-430003:
EventPriority: Low,
DeviceUUID: abc123,
InstanceID: 1,
FirstPacketSecond: 1705318545,
ConnectionID: 12345,
AccessControlRuleAction: Allow,
SrcIP: 10.0.0.5,
DstIP: 8.8.8.8,
SrcPort: 54321,
DstPort: 53,
Protocol: udp,
IngressInterface: inside,
EgressInterface: outside,
IngressZone: inside-zone,
EgressZone: outside-zone,
ACPolicy: Default-Policy,
AccessControlRuleName: Allow-DNS,
User: user@example.com,
ApplicationProtocol: DNS,
InitiatorBytes: 64,
ResponderBytes: 128

침입 이벤트의 예:

<134>1 2024-01-15T10:16:30.456Z fmc-hostname %FTD-4-430001:
EventPriority: High,
DeviceUUID: abc123,
InstanceID: 1,
SrcIP: 192.168.1.100,
DstIP: 10.0.0.50,
SrcPort: 12345,
DstPort: 80,
Protocol: tcp,
IngressInterface: outside,
EgressInterface: inside,
IngressZone: outside-zone,
EgressZone: inside-zone,
IntrusionPolicy: Security-Over-Connectivity,
SignatureID: 1:2024123:1,
SignatureGeneratorID: 1,
Classification: web-application-attack,
Priority: 1,
Message: SQL injection attempt detected

syslog 메시지에는 쉼표로 구분된 키-값 쌍이 포함되어 있어 Google SecOps에서 파싱하는 데 적합합니다.

제한사항

FMC에서 전송된 후 이벤트가 Google SecOps에 표시되기까지 최대 15분이 걸릴 수 있습니다.
syslog를 통해 소급 멀웨어 이벤트를 사용할 수 없습니다.
엔드포인트용 AMP에서 생성된 이벤트는 syslog를 통해 사용할 수 없습니다.
eStreamer API를 통해 제공되는 일부 메타데이터는 syslog 메시지에 포함되지 않습니다 (예: LDAP의 자세한 사용자 정보, 확장된 애플리케이션 메타데이터, 위치정보 데이터).
쉼표와 같은 특수문자로 객체 이름 (정책 이름, 규칙 이름)을 구성하면 syslog 파싱이 방해될 수 있습니다. 객체 이름에 특수문자를 사용하지 마세요.

UDM 매핑 테이블

로그 필드	UDM 매핑	논리
WebApplication, URLReputation, EgressInterface, IngressInterface, ACPolicy, NAPPolicy, ConnectionID, ssl_ticket_id, qoa_applied_interface, sinkhole_uuid, security_context, sec_zone_egress, sec_zone_ingress	additional.fields	비어 있지 않은 경우 다양한 라벨 필드에서 병합됨
eventType	extensions.auth.type	eventType이 'USER_LOGIN_INFORMATION'인 경우 'VPN'으로 설정됩니다.
vulnerabilities	extensions.vulns.vulnerabilities	비어 있지 않은 경우 취약점에서 병합됨
flowStatistics.httpReferrer	http.referral_url	값이 직접 복사됨
flowStatistics.httpResponse	http.response_code	정수로 변환됨
flowStatistics.userAgent	http.user_agent	값이 직접 복사됨
_intermediary	intermediary	비어 있지 않은 경우 _intermediary에서 병합됨
recordTypeDescription, entry.message	metadata.description	비어 있지 않은 경우 recordTypeDescription의 값, 비어 있는 경우 entry.message의 값
event_second, connection_timestamp, _serverTimestamp	metadata.event_timestamp	비어 있지 않은 경우 event_second에서 파싱된 날짜, 그렇지 않은 경우 connection_timestamp, 그렇지 않은 경우 _serverTimestamp
event_type	metadata.event_type	값이 직접 복사됨
prod_event_type, eventId, recordTypeCategory, app, _recordTypeName, eventType	metadata.product_event_type	비어 있지 않은 경우 prod_event_type의 값, 그렇지 않은 경우 eventId, 그렇지 않은 경우 recordTypeCategory, 그렇지 않은 경우 app, 그렇지 않은 경우 _recordTypeName, 그렇지 않은 경우 eventType
DeviceUUID	metadata.product_log_id	값이 직접 복사됨
flowStatistics.clientAppVersion, client_version	metadata.product_version	비어 있지 않은 경우 flowStatistics.clientAppVersion의 값, 그렇지 않은 경우 client_version
flowStatistics.clientAppURL	metadata.url_back_to_product	값이 직접 복사됨
ApplicationProtocol	network.application_protocol	(?i)ldap과 일치하면 'LDAP', (?i)https와 일치하면 'HTTPS', (?i)http와 일치하면 'HTTP'로 설정됩니다.
answer	network.dns.answers	답변에서 병합됨
flowStatistics.dnsQuery	network.dns.answers.name	값이 직접 복사됨
flowStatistics.dnsTTL	network.dns.answers.ttl	uint로 변환됨
flowStatistics.dnsRecordType	network.dns.answers.type	uint로 변환됨
flowStatistics.dnsResponseType	network.dns.response_code	uint로 변환됨
user_agent	network.http.parsed_user_agent	parseduseragent로 변환됨
user_agent	network.http.user_agent	값이 직접 복사됨
proto, Protocol, inputType, proto_type, protocol, ip_v4_protocol, protocol_number_src	network.ip_protocol	프로토콜 매핑 및 사례가 있는 다양한 필드를 기반으로 설정
ResponderBytes, flowStatistics.bytesReceived	network.received_bytes	비어 있지 않으면 ResponderBytes의 값, 그렇지 않으면 flowStatistics.bytesReceived를 uinteger로 변환한 값
ResponderPackets	network.received_packets	정수로 변환됨
InitiatorBytes, flowStatistics.bytesSent	network.sent_bytes	비어 있지 않은 경우 InitiatorBytes의 값, 그렇지 않은 경우 flowStatistics.bytesSent(uinteger로 변환됨)
InitiatorPackets, packet_data	network.sent_packets	비어 있지 않은 경우 InitiatorPackets의 값, 그렇지 않은 경우 packet_data(정수로 변환됨)
ssl_session_id	network.session_id	값이 직접 복사됨
ssl_cipher_suite	network.tls.cipher	값이 직접 복사됨
agent_type, agent_version	observer.application	둘 다 비어 있지 않은 경우 agent_type agent_version으로 연결됩니다.
entry.host.hostname	observer.hostname	값이 직접 복사됨
entry.host.ip	observer.ip	entry.host.ip에서 병합됨
entry.host.mac	observer.mac	entry.host.mac에서 병합됨
clientApplication, hold.app_string	principal.application	비어 있지 않으면 clientApplication의 값, 비어 있으면 hold.app_string
prin_host, DeviceAddress, principal_hostname	principal.asset.hostname	비어 있지 않은 경우 prin_host의 값, 비어 있는 경우 sourceAddress의 값, 그렇지 않은 경우 principal_hostname
SrcIP, principal_ip, source_address_IPv4v6	principal.asset.ip	SrcIP (grok 검증), principal_ip, source_address_IPv4v6 (grok 검증)에서 병합됨
file_sha_hash, sha_hash	principal.file.sha256	비어 있지 않으면 file_sha_hash의 값, 그렇지 않으면 sha_hash
prin_host, DeviceAddress, principal_hostname	principal.hostname	비어 있지 않은 경우 prin_host의 값, 비어 있는 경우 sourceAddress의 값, 그렇지 않은 경우 principal_hostname
SrcIP, principal_ip, source_address_IPv4v6	principal.ip	SrcIP (grok 검증), principal_ip, source_address_IPv4v6 (grok 검증)에서 병합됨
flowStatistics.initiatorCountry.geolocation.countryName, src_ip_country	principal.location.country_or_region	비어 있지 않은 경우 flowStatistics.initiatorCountry.geolocation.countryName의 값, 그렇지 않은 경우 src_ip_country
entry.macAddress	principal.mac	entry.macAddress에서 병합됨
host_os_platform	principal.platform	centos인 경우 LINUX로 설정하고, 그렇지 않으면 entry.host.os.platform을 대문자로 설정합니다.
entry.host.os.kernel	principal.platform_patch_level	값이 직접 복사됨
identityData.fingerprintUUID.osName, osFingerprint.fingerprintUUID.osName	principal.platform_version	비어 있지 않은 경우 identityData에서 연결된 osName osVersion, 그렇지 않은 경우 osFingerprint
SrcPort, entry.sourcePort, entry.sourcePortOrIcmpType, source_port, flowStatistics.initiatorPort, source_port_or_icmp_code	principal.port	비어 있지 않으면 SrcPort의 값, 그렇지 않으면 entry.sourcePort, 그렇지 않으면 entry.sourcePortOrIcmpType, 그렇지 않으면 source_port, 그렇지 않으면 flowStatistics.initiatorPort, 그렇지 않으면 source_port_or_icmp_code를 정수로 변환
isecurityZoneName	principal.resource.attribute.labels	isecurityZoneName에서 병합됨
DeviceType	principal.resource.name	값이 직접 복사됨
	principal.resource.resource_type	'DEVICE'로 설정
entry.computed.user	principal.user.user_display_name	문자열로 변환됨
entry.userId, user_id, flowStatistics.user.userId, entry.computed.user, userLoginInformation.userName	principal.user.userid	비어 있지 않은 경우 entry.userId의 값, 그렇지 않은 경우 user_id, 그렇지 않은 경우 flowStatistics.user.userId, 그렇지 않은 경우 entry.computed.user, 그렇지 않은 경우 userLoginInformation.userName
connectionID_label, FirstPacketSecond_label	sec_result.about.resource.attribute.labels	비어 있지 않은 경우 connectionID_label 및 FirstPacketSecond_label에서 병합됨
sec_result_action	sec_result.action	sec_result_action에서 병합됨
flowStatistics.securityIntelligenceList1.securityIntelligenceListName	sec_result.category	rule_name이 Malware인 경우 NETWORK_MALICIOUS로 설정하고 Anomali_IP인 경우 NETWORK_SUSPICIOUS로 설정합니다.
classification.description, userLoginInformation.description, sec_desc	sec_result.description	비어 있지 않은 경우 classification.description의 값, 그렇지 않은 경우 userLoginInformation.description, 그렇지 않은 경우 sec_desc
entry.computed.priority	sec_result.priority	대문자로 된 entry.computed.priority _PRIORITY
entry.ruleId, rule_ruleId	sec_result.rule_id	비어 있지 않으면 entry.ruleId의 값, 그렇지 않으면 rule_ruleId
AccessControlRuleName, rule_message, fw_rule, flowStatistics.securityIntelligenceList1.securityIntelligenceListName	sec_result.rule_name	비어 있지 않은 경우 AccessControlRuleName의 값, 그렇지 않은 경우 rule_message, 그렇지 않은 경우 fw_rule, 그렇지 않은 경우 flowStatistics.securityIntelligenceList1.securityIntelligenceListName
EventPriority, sec_severity, severity_code, priority_name	sec_result.severity	EventPriority가 Low인 경우 LOW, High인 경우 HIGH, Medium인 경우 MEDIUM으로 설정합니다. 그 외의 경우에는 sec_severity 매핑에서, 그 외의 경우에는 severity_code 매핑에서, 그 외의 경우에는 priority_name을 대문자로 변환한 값에서 가져옵니다.
사용자	sec_result.summary	값이 직접 복사됨
threat_name	sec_result.threat_name	값이 직접 복사됨
security_result	security_result	security_result에서 병합됨
firewallRuleAction, hold.action, AccessControlRuleAction, sec_result_action, vendor_blocked	security_result.action	no_action이 아닌 경우 firewallRuleAction에서 대문자로 표시된 값, 그렇지 않은 경우 hold.action, 그렇지 않은 경우 AccessControlRuleAction(대소문자 포함), 그렇지 않은 경우 sec_result_action, 그렇지 않은 경우 vendor_blocked(0 ALLOW, 그 외 BLOCK)에서 가져온 값
disposition	security_result.action_details	처분 3인 경우 'Infected', 그렇지 않은 경우 'Unknown'으로 설정됩니다.
eventDescription	security_result.description	값이 직접 복사됨
firewallRule	security_result.rule_name	값이 직접 복사됨
threat_name	security_result.threat_name	값이 직접 복사됨
hostService.webApplication.webApplication0.applicationId.webApplicationName	target.application	값이 직접 복사됨
DstIP, entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6	target.asset.ip	DstIP (grok), entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 (grok)에서 병합됨
InstanceID, flowStatistics.clientAppId	target.asset_id	비어 있지 않은 경우 InstanceID의 값, 그렇지 않은 경우 'Client_app_id: ' + flowStatistics.clientAppId
파일	target.file	파일에서 이름이 변경됨
DstIP, entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6	target.ip	DstIP (grok), entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 (grok)에서 병합됨
flowStatistics.responderCountry.geolocation.countryName, dest_ip_country, entry.country.data	target.location.country_or_region	비어 있지 않은 경우 flowStatistics.responderCountry.geolocation.countryName의 값, 그렇지 않은 경우 dest_ip_country, 그렇지 않은 경우 entry.country.data
MACAddress	target.mac	00:00:00:00:00:00이 아닌 경우 소문자 MACAddress
DstPort, entry.destinationPort, entry.destinationPortOrIcmpType, dest_port, flowStatistics.responderPort, destination_port_or_icmp_code	target.port	비어 있지 않으면 DstPort의 값, 그렇지 않으면 entry.destinationPort, 그렇지 않으면 entry.destinationPortOrIcmpType, 그렇지 않으면 dest_port, 그렇지 않으면 flowStatistics.responderPort, 그렇지 않으면 destination_port_or_icmp_code를 정수로 변환
securityZoneName, det_engine, file_num, file_pos, rec_length	target.resource.attribute.labels	비어 있지 않은 경우 securityZoneName, det_engine, file_num, file_pos, rec_length에서 병합됨
URL	target.url	값이 직접 복사됨
entry.user.username.data	target.user.userid	값이 직접 복사됨
descript	vulnerabilities.description	값이 직접 복사됨
severity_detail	vulnerabilities.severity_details	값이 직접 복사됨
제품	vulnerabilities.vendor	값이 직접 복사됨
	metadata.product_name	'CISCO_FIRESIGHT'로 설정
	metadata.vendor_name	'CISCO MANAGEMENT CENTER'로 설정

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.