Cisco Meraki 로그 수집

다음에서 지원:

Google secops SIEM

이 문서에서는 Bindplane을 사용하여 Cisco Meraki 로그를 Google Security Operations로 수집하는 방법을 설명합니다.

파서는 Cisco Meraki syslog 및 JSON 형식 로그에서 필드를 추출합니다. 로그 메시지를 처리하기 위해 grok 또는 JSON 파싱을 사용한 다음 이러한 값을 통합 데이터 모델 (UDM)에 매핑합니다. 또한 이벤트 소스 및 유형의 기본 메타데이터 값을 설정합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

Google SecOps 인스턴스
Windows Server 2016 이상 또는 systemd가 설치된 Linux 호스트
프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
Cisco Meraki 대시보드에 대한 액세스 권한 관리

Google SecOps 수집 인증 파일 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 수집 에이전트로 이동합니다.
수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.

Windows 설치

명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

다음 명령어를 실행합니다.

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
```
sc query observiq-otel-collector
```

서비스가 실행 중으로 표시되어야 합니다.

Linux 설치

루트 또는 sudo 권한으로 터미널을 엽니다.

다음 명령어를 실행합니다.

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

설치가 완료될 때까지 기다립니다.

다음을 실행하여 설치를 확인합니다.

sudo systemctl status observiq-otel-collector

서비스가 active (running)으로 표시되어야 합니다.

추가 설치 리소스

추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.

syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

구성 파일 찾기

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

구성 파일 설정

config.yaml의 전체 내용을 다음 구성으로 바꿉니다.

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'CISCO_MERAKI'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

구성 매개변수

다음 자리표시자를 바꿉니다.
- 수신기 구성:
  - udplog: UDP syslog의 경우 udplog, TCP syslog의 경우 tcplog 사용
  - 0.0.0.0: 리슨할 IP 주소 (모든 인터페이스에서 리슨하려면 0.0.0.0)
  - 514: 리슨할 포트 번호 (표준 syslog 포트)
- 내보내기 도구 구성:
  - creds_file_path: 수집 인증 파일의 전체 경로입니다.
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID: 고객 ID 가져오기 섹션의 고객 ID
  - endpoint: 리전 엔드포인트 URL:
    - 미국: malachiteingestion-pa.googleapis.com
    - 유럽: europe-malachiteingestion-pa.googleapis.com
    - 아시아: asia-southeast1-malachiteingestion-pa.googleapis.com
    - 전체 목록은 리전 엔드포인트를 참고하세요.
  - log_type: Chronicle에 표시되는 로그 유형 (CISCO_MERAKI)

구성 파일 저장

수정 후 파일을 저장합니다.
- Linux: Ctrl+O, Enter, Ctrl+X 순서로 누릅니다.
- Windows: 파일 > 저장을 클릭합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
```
sudo systemctl restart observiq-otel-collector
```
1. 서비스가 실행 중인지 확인합니다.
```
  sudo systemctl status observiq-otel-collector
```
2. 로그에서 오류를 확인합니다.
```
  sudo journalctl -u observiq-otel-collector -f
```
Windows에서 Bindplane 에이전트를 다시 시작하려면 다음 옵션 중 하나를 선택합니다.
- 명령 프롬프트 또는 PowerShell(관리자 권한)
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 서비스 콘솔:
  1. Win+R를 누르고 services.msc를 입력한 다음 Enter 키를 누릅니다.
  2. observIQ OpenTelemetry Collector를 찾습니다.
  3. 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.
  4. 서비스가 실행 중인지 확인합니다.
```
sc query observiq-otel-collector
```
  5. 로그에서 오류를 확인합니다.
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Cisco Meraki에서 Syslog 전달 구성

https://dashboard.meraki.com에서 Cisco Meraki 대시보드에 로그인합니다.
네트워크 드롭다운에서 타겟 네트워크를 선택합니다.
네트워크 전체 > 일반으로 이동합니다.
보고 섹션으로 이동합니다.
시스템 로그 서버를 찾아 시스템 로그 서버 추가를 클릭합니다.
다음 구성 세부정보를 제공합니다.
- 서버 IP: Bindplane 에이전트 호스트의 IP 주소를 입력합니다.
- 포트: 514를 입력합니다.
- 역할: 전달할 로그 유형을 선택합니다.
  - 흐름: 네트워크 흐름 데이터
  - URL: URL 액세스 로그
  - 보안 이벤트: IDS/IPS 알림
  - 어플라이언스 이벤트 로그: MX 어플라이언스 이벤트
  - Air Marshal 이벤트: 무선 위협 감지
  - IDS 알림: 침입 감지 시스템 알림
저장을 클릭합니다.
Bindplane 에이전트 로그를 확인하여 syslog 메시지가 전송되고 있는지 확인합니다.

UDM 매핑 테이블

로그 필드	UDM 매핑	논리
action	security_result.action	값이 대문자로 변환됩니다. 값이 'deny'인 경우 'BLOCK'으로 대체됩니다. sc_action에 'allow'가 포함된 경우 값이 'ALLOW'로 대체됩니다. 그렇지 않고 결정에 'block'이 포함된 경우 값은 'BLOCK'으로 대체됩니다. 그렇지 않으면 승인이 'success'인 경우 'ALLOW'로 설정되고 'failure'인 경우 'BLOCK'으로 설정됩니다. 그 외의 경우 패턴이 '1 all', 'deny all' 또는 'Group Policy Deny'이면 'BLOCK'으로 설정됩니다. 패턴이 '모두 허용', '그룹 정책 허용' 또는 '0 모두'인 경우 '허용'으로 설정됩니다. 그렇지 않으면 'UNKNOWN_ACTION'으로 설정됩니다. 결정에 '차단'이 포함된 경우 'BLOCK'으로 설정됩니다.
adId	principal.user.user_display_name	JSON 로그의 adId 필드에서 직접 매핑됩니다.
에이전트	network.http.user_agent	아포스트로피가 삭제됩니다. 에이전트 필드에서 직접 매핑됩니다. parseduseragent 필터를 사용하여 network.http.parsed_user_agent로도 변환되었습니다.
지원	network.session_id	aid 필드에서 직접 매핑됩니다.
appProtocol	network.application_protocol	대문자로 변환됨 appProtocol 필드에서 직접 매핑됩니다.
attr	additional.fields	'attr' 키와 함께 additional.fields 배열에 키-값 쌍으로 추가됩니다.
승인	security_result.action_details	JSON 로그의 승인 필드에서 직접 매핑됩니다.
밴드	additional.fields	'band' 키와 함께 additional.fields 배열에 키-값 쌍으로 추가됩니다.
bssids.bssid	principal.mac	소문자로 변환됨 principal.mac 배열로 병합되었습니다.
bssids.detectedBy.device	intermediary.asset.asset_id	'기기 ID: '로 형식이 지정됩니다.
bssids.detectedBy.rssi	intermediary.asset.product_object_id	문자열로 변환되었습니다.
채널	about.resource.attribute.labels	'Channel' 키와 함께 about.resource.attribute.labels 배열에 키-값 쌍으로 추가됩니다.
clientDescription	additional.fields	'clientDescription' 키와 함께 additional.fields 배열에 키-값 쌍으로 추가됩니다.
clientId	additional.fields	'clientId' 키와 함께 additional.fields 배열에 키-값 쌍으로 추가됩니다.
clientIp	principal.ip, principal.asset.ip	clientIp 필드에서 직접 매핑됩니다.
clientMac	principal.mac	소문자로 변환됨 JSON 로그의 clientMac 필드에서 직접 매핑됩니다.
client_ip	principal.ip, principal.asset.ip	client_ip 필드에서 직접 매핑됩니다.
client_mac	principal.mac	소문자로 변환됨 client_mac 필드에서 직접 매핑됩니다.
코드	additional.fields	'code' 키와 함께 additional.fields 배열에 키-값 쌍으로 추가됩니다.
collection_time	metadata.event_timestamp	초 및 나노초 필드가 결합되어 타임스탬프를 만듭니다.
조건	security_result.about.resource.attribute.labels	캐리지 리턴, 줄바꿈, 탭은 공백으로 대체되고 특정 값은 대체됩니다. 수정된 값은 'Conditions' 키와 함께 security_result.about.resource.attribute.labels 배열에 키-값 쌍으로 추가됩니다.
결정	security_result.action	값이 'blocked'인 경우 'BLOCK'으로 설정됩니다.
내림차순	metadata.description	desc 필드에서 직접 매핑됩니다.
설명	security_result.description	JSON 로그의 설명 필드에서 직접 매핑됩니다.
DestAddress	target.ip, target.asset.ip	DestAddress 필드에서 직접 매핑됩니다.
DestPort	target.port	정수로 변환되었습니다. DestPort 필드에서 직접 매핑됩니다.
deviceIp	target.ip	deviceIp 필드에서 직접 매핑됩니다.
deviceMac	target.mac	소문자로 변환됨 deviceMac 필드에서 직접 매핑됩니다.
deviceName	target.hostname, target.asset.hostname	JSON 로그의 deviceName 필드에서 직접 매핑됩니다.
deviceSerial	target.asset.hardware.serial_number	JSON 로그의 deviceSerial 필드에서 직접 매핑됩니다.
방향	network.direction	특수문자가 삭제되고 값이 network.direction에 매핑됩니다.
DisabledPrivilegeList	target.user.attribute	캐리지 리턴, 줄바꿈, 탭이 대체되고 수정된 값이 JSON으로 파싱되어 target.user.attribute 객체로 병합됩니다.
dport	target.port	정수로 변환되었습니다. dport 필드에서 직접 매핑됩니다.
dst	target.ip, target.asset.ip	dst 필드에서 직접 매핑됩니다.
dstIp	target.ip, target.asset.ip	dstIp 필드에서 직접 매핑됩니다.
dstPort	target.port	정수로 변환되었습니다. dstPort 필드에서 직접 매핑됩니다.
dvc	intermediary.hostname	dvc 필드에서 직접 매핑됩니다.
EnabledPrivilegeList	target.user.attribute	캐리지 리턴, 줄바꿈, 탭이 대체되고 수정된 값이 JSON으로 파싱되어 target.user.attribute 객체로 병합됩니다.
eventData.aid	principal.asset_id	'ASSET_ID:'로 형식이 지정됩니다.
eventData.client_ip	principal.ip, principal.asset.ip	JSON 로그의 eventData.client_ip 필드에서 직접 매핑됩니다.
eventData.client_mac	principal.mac	소문자로 변환됨 JSON 로그의 eventData.client_mac 필드에서 직접 매핑됩니다.
eventData.group	principal.group.group_display_name	JSON 로그의 eventData.group 필드에서 직접 매핑됩니다.
eventData.identity	principal.hostname	JSON 로그의 eventData.identity 필드에서 직접 매핑됩니다.
eventData.ip	principal.ip, principal.asset.ip	JSON 로그의 eventData.ip 필드에서 직접 매핑됩니다.
EventID	metadata.product_event_type, security_result.rule_name	문자열로 변환되었습니다. metadata.product_event_type에 매핑됩니다. 'EventID: ' 형식으로 security_result.rule_name을 만드는 데도 사용됩니다. event_type 및 sec_action을 결정하는 데 사용됩니다.
eventSummary	security_result.summary, metadata.description	eventSummary 필드에서 직접 매핑됩니다. 일부 이벤트의 security_result.description에도 사용됩니다.
eventType	metadata.product_event_type	eventType 필드에서 직접 매핑됩니다. 적용할 파싱 논리를 결정하는 데 사용됩니다.
filename	principal.process.file.full_path	파일 이름 필드에서 직접 매핑됩니다.
FilterId	target.resource.product_object_id	EventID 5447의 FilterId 필드에서 직접 매핑됩니다.
FilterName	target.resource.name	EventID 5447의 FilterName 필드에서 직접 매핑됩니다.
FilterRTID	security_result.detection_fields	'FilterRTID' 키와 함께 security_result.detection_fields 배열에 키-값 쌍으로 추가됩니다.
firstSeen	security_result.detection_fields	문자열로 변환되었습니다. 'firstSeen' 키와 함께 security_result.detection_fields 배열에 키-값 쌍으로 추가됩니다.
gatewayDeviceMac	target.mac	소문자로 변환됨 target.mac 배열로 병합되었습니다.
그룹	additional.fields	'group' 키와 함께 additional.fields 배열에 키-값 쌍으로 추가됩니다.
GroupMembership	target.user	캐리지 리턴, 줄바꿈, 탭, 특수문자는 삭제됩니다. 수정된 값은 JSON으로 파싱되어 target.user 객체로 병합됩니다.
호스트 이름	principal.hostname, principal.asset.hostname	호스트 이름 필드에서 직접 매핑됩니다.
ID	target.user.userid	ID 필드에서 직접 매핑됩니다.
instigator	additional.fields	'instigator' 키와 함께 additional.fields 배열에 키-값 쌍으로 추가됩니다.
int_ip	intermediary.ip	int_ip 필드에서 직접 매핑됩니다.
ip_msg	principal.resource.attribute.labels	'IPs' 키와 함께 principal.resource.attribute.labels 배열에 키-값 쌍으로 추가됩니다.
is_8021x	additional.fields	'is_8021x' 키와 함께 additional.fields 배열에 키-값 쌍으로 추가됩니다.
KeyName	target.resource.name	KeyName 필드에서 직접 매핑됩니다.
KeyFilePath	target.file.full_path	KeyFilePath 필드에서 직접 매핑됩니다.
lastSeen	security_result.detection_fields	문자열로 변환되었습니다. 'lastSeen' 키와 함께 security_result.detection_fields 배열에 키-값 쌍으로 추가됩니다.
last_known_client_ip	principal.ip, principal.asset.ip	last_known_client_ip 필드에서 직접 매핑됩니다.
LayerName	security_result.detection_fields	'레이어 이름' 키와 함께 security_result.detection_fields 배열에 키-값 쌍으로 추가됩니다.
LayerRTID	security_result.detection_fields	'LayerRTID' 키와 함께 security_result.detection_fields 배열에 키-값 쌍으로 추가됩니다.
localIp	principal.ip, principal.asset.ip	localIp 필드에서 직접 매핑됩니다.
로그인	principal.user.email_addresses	이메일 주소 형식과 일치하는 경우 JSON 로그의 로그인 필드에서 직접 매핑됩니다.
LogonGuid	additional.fields	'LogonGuid' 키와 함께 additional.fields 배열에 키-값 쌍으로 추가됩니다.
LogonType	extensions.auth.mechanism	값에 따라 특정 인증 메커니즘에 매핑됩니다. PreAuthType이 있으면 LogonType이 재정의됩니다. 값은 다음과 같이 매핑됩니다. 2 -> USERNAME_PASSWORD, 3 -> NETWORK, 4 -> BATCH, 5 -> SERVICE, 7 -> UNLOCK, 8 -> NETWORK_CLEAR_TEXT, 9 -> NEW_CREDENTIALS, 10 -> REMOTE_INTERACTIVE, 11 -> CACHED_INTERACTIVE, 12 -> CACHED_REMOTE_INTERACTIVE, 13 -> CACHED_UNLOCK, 기타 -> MECHANISM_UNSPECIFIED
mac	principal.mac	소문자로 변환됨 principal.mac 배열로 병합되었습니다.
MandatoryLabel	additional.fields	'MandatoryLabel' 키와 함께 additional.fields 배열에 키-값 쌍으로 추가됩니다.
메시지	security_result.description, security_result.summary	AccessReason이 있으면 Message가 security_result.summary에 매핑되고 AccessReason이 security_result.description에 매핑됩니다. 그렇지 않으면 Message가 security_result.description에 매핑됩니다.
메서드	network.http.method	메서드 필드에서 직접 매핑됩니다.
msg	security_result.description	msg 필드에서 직접 매핑됩니다.
name	principal.user.user_display_name	JSON 로그의 이름 필드에서 직접 매핑됩니다.
natsrcIp	principal.nat_ip	natsrcIp 필드에서 직접 매핑됩니다.
natsrcport	principal.nat_port	정수로 변환되었습니다. natsrcport 필드에서 직접 매핑됩니다.
network_id	additional.fields	'네트워크 ID' 키와 함께 additional.fields 배열에 키-값 쌍으로 추가됩니다.
NewProcessId	target.process.pid	NewProcessId 필드에서 직접 매핑됩니다.
NewProcessName	target.process.file.full_path	NewProcessName 필드에서 직접 매핑됩니다.
NewSd	target.resource.attribute.labels	'New Security Descriptor' 키와 함께 target.resource.attribute.labels 배열에 키-값 쌍으로 추가됩니다.
occurredAt	metadata.event_timestamp	ISO8601 형식을 사용하여 타임스탬프로 파싱됩니다.
ObjectName	target.file.full_path, target.registry.registry_key, target.process.file.full_path, additional.fields	EventID가 4663이고 ObjectType이 'Process'인 경우 target.process.file.full_path에 매핑됩니다. ObjectType이 'Key'인 경우 target.registry.registry_key에 매핑됩니다. 그렇지 않으면 target.file.full_path에 매핑됩니다. 다른 이벤트의 경우 키가 'ObjectName'인 additional.fields 배열에 키-값 쌍으로 추가됩니다.
ObjectType	additional.fields	'ObjectType' 키와 함께 additional.fields 배열에 키-값 쌍으로 추가됩니다. event_type을 확인하는 데 사용됩니다.
OldSd	target.resource.attribute.labels	'Original Security Descriptor' 키와 함께 target.resource.attribute.labels 배열에 키-값 쌍으로 추가됩니다.
organizationId	principal.resource.id	JSON 로그의 organizationId 필드에서 직접 매핑됩니다.
ParentProcessName	target.process.parent_process.file.full_path	ParentProcessName 필드에서 직접 매핑됩니다.
패턴	security_result.description	security_result.description에 직접 매핑됩니다. security_result.action을 결정하는 데 사용됩니다.
peer_ident	target.user.userid	peer_ident 필드에서 직접 매핑됩니다.
PreAuthType	extensions.auth.mechanism	있는 경우 인증 메커니즘을 확인하는 데 사용됩니다. LogonType을 재정의합니다.
principalIp	principal.ip, principal.asset.ip	principalIp 필드에서 직접 매핑됩니다.
principalMac	principal.mac	소문자로 변환됨 principal.mac 배열로 병합되었습니다.
principalPort	principal.port	정수로 변환되었습니다. principalPort 필드에서 직접 매핑됩니다.
prin_ip2	principal.ip, principal.asset.ip	prin_ip2 필드에서 직접 매핑됩니다.
prin_url	principal.url	prin_url 필드에서 직접 매핑됩니다.
우선순위	security_result.priority	값에 따라 우선순위 수준에 매핑됩니다. 1 -> HIGH_PRIORITY, 2 -> MEDIUM_PRIORITY, 3 -> LOW_PRIORITY, 기타 -> UNKNOWN_PRIORITY
ProcessID	principal.process.pid	문자열로 변환되었습니다. ProcessID 필드에서 직접 매핑됩니다.
ProcessName	principal.process.file.full_path, target.process.file.full_path	EventID가 4689이면 target.process.file.full_path에 매핑됩니다. 그렇지 않으면 principal.process.file.full_path에 매핑됩니다.
prod_log_id	metadata.product_log_id	prod_log_id 필드에서 직접 매핑됩니다.
프로토콜	network.ip_protocol	대문자로 변환됨 숫자인 경우 해당 IP 프로토콜 이름으로 변환됩니다. 'ICMP6'인 경우 'ICMP'로 대체됩니다. 프로토콜 필드에서 직접 매핑됩니다.
ProviderGuid	metadata.product_deployment_id	ProviderGuid 필드에서 직접 매핑됩니다.
query	network.dns.questions.name	쿼리 필드에서 직접 매핑됩니다.
query_type	network.dns.questions.type	question.type으로 이름이 변경되고 network.dns.questions 배열로 병합되었습니다. DHCP 쿼리 유형에 따라 숫자 값에 매핑됩니다.
radio	additional.fields	'radio' 키와 함께 additional.fields 배열에 키-값 쌍으로 추가됩니다.
reason	additional.fields	'reason' 키와 함께 additional.fields 배열에 키-값 쌍으로 추가됩니다.
rec_bytes	network.received_bytes	부호 없는 정수로 변환되었습니다. rec_bytes 필드에서 직접 매핑됩니다.
RecordNumber	metadata.product_log_id	문자열로 변환되었습니다. RecordNumber 필드에서 직접 매핑됩니다.
RelativeTargetName	target.process.file.full_path	RelativeTargetName 필드에서 직접 매핑됩니다.
response_ip	principal.ip, principal.asset.ip	response_ip 필드에서 직접 매핑됩니다.
rssi	intermediary.asset.product_object_id	rssi 필드에서 직접 매핑됩니다.
sc_action	security_result.action_details	sc_action 필드에서 직접 매핑됩니다.
sec_action	security_result.action	security_result.action 배열로 병합되었습니다.
server_ip	client_ip	client_ip 필드에 직접 매핑됩니다.
심각도	security_result.severity	값에 따라 심각도 수준에 매핑됩니다. 'Info' -> INFORMATIONAL, 'Error' -> ERROR, 'Warning' -> MEDIUM, 기타 -> UNKNOWN_SEVERITY
sha256	target.file.sha256	sha256 필드에서 직접 매핑됩니다.
signature	additional.fields	'signature' 키와 함께 additional.fields 배열에 키-값 쌍으로 추가됩니다.
SourceAddress	principal.ip, principal.asset.ip	SourceAddress 필드에서 직접 매핑됩니다.
SourceHandleId	src.resource.id	SourceHandleId 필드에서 직접 매핑됩니다.
SourceModuleName	observer.labels	'SourceModuleName' 키와 함께 observer.labels 배열에 키-값 쌍으로 추가됩니다.
SourceModuleType	observer.application	SourceModuleType 필드에서 직접 매핑됩니다.
SourcePort	principal.port	정수로 변환되었습니다. SourcePort 필드에서 직접 매핑됩니다.
SourceProcessId	src.process.pid	SourceProcessId 필드에서 직접 매핑됩니다.
source_client_ip	client_ip	client_ip 필드에 직접 매핑됩니다.
스포츠	principal.port	정수로 변환되었습니다. 스포츠 필드에서 직접 매핑됩니다.
src	principal.ip, principal.asset.ip	src 필드에서 직접 매핑됩니다.
ssid	network.session_id	JSON 로그의 ssid 필드에서 직접 매핑됩니다.
ssidName	additional.fields	키가 'ssidName'인 additional.fields 배열에 키-값 쌍으로 추가됩니다.
state	additional.fields	'state' 키와 함께 additional.fields 배열에 키-값 쌍으로 추가됩니다.
상태	additional.fields	'Status' 키와 함께 additional.fields 배열에 키-값 쌍으로 추가됩니다.
status_code	network.http.response_code	정수로 변환되었습니다. status_code 필드에서 직접 매핑됩니다.
SubjectDomainName	principal.administrative_domain	SubjectDomainName 필드에서 직접 매핑됩니다.
SubjectLogonId	principal.resource.attribute.labels	'SubjectLogonId' 키와 함께 principal.resource.attribute.labels 배열에 키-값 쌍으로 추가됩니다.
SubjectUserName	principal.user.userid	SubjectUserName 필드에서 직접 매핑됩니다.
SubjectUserSid	principal.user.windows_sid	SubjectUserSid 필드에서 직접 매핑됩니다.
targetHost	target.hostname, target.asset.hostname	가능한 경우 IP 주소로 변환됩니다. 그렇지 않으면 파싱되어 호스트 이름을 추출하고 target.hostname 및 target.asset.hostname에 매핑됩니다.
TargetHandleId	target.resource.id	TargetHandleId 필드에서 직접 매핑됩니다.
TargetLogonId	principal.resource.attribute.labels	SubjectLogonId와 다른 경우 'TargetLogonId' 키와 함께 principal.resource.attribute.labels 배열에 키-값 쌍으로 추가됩니다.
TargetProcessId	target.process.pid	TargetProcessId 필드에서 직접 매핑됩니다.
TargetUserName	target.user.userid	TargetUserName 필드에서 직접 매핑됩니다.
TargetUserSid	target.user.windows_sid	TargetUserSid 필드에서 직접 매핑됩니다.
작업	additional.fields	문자열로 변환되었습니다. 'Task' 키와 함께 additional.fields 배열에 키-값 쌍으로 추가됩니다.
타임스탬프	metadata.event_timestamp	초 필드는 타임스탬프를 만드는 데 사용됩니다.
ts	metadata.event_timestamp	ts가 비어 있으면 tsDate, tsTime, tsTZ를 결합하여 생성됩니다. ''가 포함된 경우 정수 값을 추출하도록 파싱됩니다. 그런 다음 다양한 형식을 사용하여 타임스탬프로 파싱됩니다.
유형	security_result.summary, metadata.product_event_type	JSON 로그의 유형 필드에서 직접 매핑됩니다. 경우에 따라 eventSummary 및 metadata.product_event_type으로도 사용됩니다.
url	target.url, principal.url	url 필드에서 직접 매핑됩니다.
url1	target.url	url1 필드에서 직접 매핑됩니다.
사용자	target.user.group_identifiers	target.user.group_identifiers 배열로 병합되었습니다.
user_id	target.user.userid	user_id 필드에서 직접 매핑됩니다.
UserID	principal.user.windows_sid	UserID 필드에서 직접 매핑됩니다.
사용자 이름	principal.user.userid	UserName 필드에서 직접 매핑됩니다.
user_agent	network.http.user_agent	user_agent 필드에서 직접 매핑됩니다.
userId	target.user.userid	userId 필드에서 직접 매핑됩니다.
vap	additional.fields	'vap' 키와 함께 additional.fields 배열에 키-값 쌍으로 추가됩니다.
VirtualAccount	security_result.about.labels	'VirtualAccount' 키와 함께 security_result.about.labels 배열에 키-값 쌍으로 추가됩니다.
wiredLastSeen	security_result.detection_fields	문자열로 변환되었습니다. 'wiredLastSeen' 키와 함께 security_result.detection_fields 배열에 키-값 쌍으로 추가됩니다.
wiredMacs	intermediary.mac	소문자로 변환됨 intermediary.mac 배열로 병합되었습니다.
WorkstationName	principal.hostname, principal.asset.hostname	WorkstationName 필드에서 직접 매핑됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.