Elastic Packet Beats 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Bindplane을 사용하여 Elastic Packet Beats 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 먼저 Elastic Packet Beats 로그에서 발견된 다양한 필드의 기본값을 초기화합니다. 그런 다음 grok 패턴과 json 필터를 조합하여 로그 메시지에서 데이터를 추출하고, 데이터 유형 변환을 실행하고, 이벤트 데이터 세트 유형 (예: flow, dns, http, tls, dhcpv4)에 따라 추출된 필드를 통합 데이터 모델 (UDM)의 해당 필드에 매핑합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스입니다.
systemd가 설치된 Windows 2016 이상 또는 Linux 호스트- 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
- Elastic Packet Beats 관리 콘솔 또는 어플라이언스에 대한 권한 액세스
- Logstash가 설치되고 구성되었습니다.
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다.
- Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
추가 설치 리소스
추가 설치 옵션은 설치 가이드를 참고하세요.
Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일에 액세스합니다.
config.yaml파일을 찾습니다. 일반적으로 Linux에서는/etc/bindplane-agent/디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.- 텍스트 편집기 (예:
nano,vi, 메모장)를 사용하여 파일을 엽니다.
다음과 같이
config.yaml파일을 수정합니다.receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: YOUR_CUSTOMER_ID endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'ELASTIC_PACKETBEATS' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.
YOUR_CUSTOMER_ID를 실제 고객 ID로 바꿉니다.- Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로
/path/to/ingestion-authentication-file.json를 업데이트합니다.
Bindplane 에이전트를 다시 시작하여 변경사항 적용
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart observiq-otel-collectorWindows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
net stop observiq-otel-collector && net start observiq-otel-collector
Elastic Packet Beats에서 Syslog 전달 구성
Packetbeat는 직접 syslog 출력을 지원하지 않으므로 Logstash를 중개자로 사용해야 합니다.
Logstash로 로그를 보내도록 Packetbeat 구성
- Elastic Packet Beats 관리 콘솔에 로그인합니다.
- 설정 > 로그 전달로 이동합니다.
- + 추가 또는 사용 설정 버튼을 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 이름: 설명이 포함된 이름을 입력합니다 (예:
Logstash Output). - 호스트: Logstash 서버 IP 주소를 입력합니다.
- 포트: Logstash beats 입력 포트 (일반적으로 5044)를 입력합니다.
- 프로토콜: Beats 프로토콜을 선택합니다.
- 형식: JSON을 선택합니다.
- 시간대: 시스템 전반의 일관성을 위해 UTC 시간대를 선택합니다.
- 이벤트 섹션으로 이동하여 관련 로그 유형 또는 모두를 선택합니다.
- 이름: 설명이 포함된 이름을 입력합니다 (예:
구성을 저장합니다.
대안: packetbeat.yml 직접 수정
# /etc/packetbeat/packetbeat.yml packetbeat.protocols: - type: dns ports: [53] - type: http ports: [80, 8080, 8000, 5000, 8002] send_headers: true send_all_headers: true - type: tls ports: [443, 993, 995, 5223, 8443, 8883, 9243] - type: dhcpv4 ports: [67, 68] # Enable processors for additional fields processors: - add_network_direction: source: private destination: private internal_networks: - private - community_id: # Send to Logstash using beats protocol output.logstash: hosts: ["LOGSTASH_IP:5044"]LOGSTASH_IP를 Logstash 서버의 IP 주소로 바꿉니다.
Syslog를 사용하여 BindPlane으로 전달하도록 Logstash 구성
Logstash 파이프라인 구성 파일을 만듭니다.
sudo nano /etc/logstash/conf.d/packetbeat-to-bindplane.conf다음 구성을 추가합니다.
# Receive from Packetbeat input { beats { port => 5044 } } # Optional: Add filters for data enrichment filter { # Preserve original message structure mutate { copy => { "@metadata" => "[@metadata_backup]" } } } # Send to BindPlane via syslog output { syslog { host => "BINDPLANE_IP" port => 514 protocol => "udp" rfc => "rfc5424" facility => "local0" severity => "informational" sourcehost => "%{[agent][hostname]}" appname => "packetbeat" procid => "%{[agent][id]}" msgid => "ELASTIC_PACKETBEATS" structured_data => "packetbeat@32473" message => "%{message}" } }BINDPLANE_IP를 BindPlane 에이전트의 IP 주소로 바꿉니다.
Logstash를 다시 시작하여 구성을 적용합니다.
sudo systemctl restart logstash
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| @timestamp | metadata.event_timestamp | 원시 로그 필드 @timestamp에서 직접 매핑됩니다. |
| agent.hostname | observer.hostname | 원시 로그 필드 agent.hostname에서 직접 매핑됩니다. |
| agent.id | observer.asset_id | agent.type와 연결되어 observer.asset_id 필드를 형성합니다. |
| agent.type | observer.application | 원시 로그 필드 agent.type에서 직접 매핑됩니다. |
| agent.version | observer.platform_version | 원시 로그 필드 agent.version에서 직접 매핑됩니다. |
| audit_category | security_result.category_details | 원시 로그 필드 audit_category에서 직접 매핑됩니다. |
| audit_cluster_name | additional.fields.audit_cluster_name.value.string_value | 원시 로그 필드 audit_cluster_name에서 직접 매핑됩니다. |
| audit_node_host_address | observer.ip | 원시 로그 필드 audit_node_host_address에서 직접 매핑됩니다. |
| audit_node_id | additional.fields.audit_node_id.value.string_value | 원시 로그 필드 audit_node_id에서 직접 매핑됩니다. |
| audit_node_name | additional.fields.audit_node_name.value.string_value | 원시 로그 필드 audit_node_name에서 직접 매핑됩니다. |
| audit_request_effective_user | observer.user.userid | 원시 로그 필드 audit_request_effective_user에서 직접 매핑됩니다. |
| audit_request_initiating_user | additional.fields.audit_request_initiating_user.value.string_value | 원시 로그 필드 audit_request_initiating_user에서 직접 매핑됩니다. |
| audit_request_remote_address | observer.ip | audit_node_host_address와 다른 경우 원시 로그 필드 audit_request_remote_address에서 직접 매핑됩니다. |
| client.bytes | network.received_bytes (인바운드) / network.sent_bytes (아웃바운드) | network.direction 필드를 기반으로 매핑됩니다. INBOUND인 경우 network.received_bytes에 매핑됩니다. OUTBOUND인 경우 network.sent_bytes에 매핑됩니다. |
| client_ip | target.ip (인바운드) / principal.ip (아웃바운드) | network.direction 필드를 기반으로 매핑됩니다. INBOUND인 경우 target.ip에 매핑됩니다. OUTBOUND인 경우 principal.ip에 매핑됩니다. |
| client.port | target.port (인바운드) / principal.port (아웃바운드) | network.direction 필드를 기반으로 매핑됩니다. INBOUND인 경우 target.port에 매핑됩니다. OUTBOUND인 경우 principal.port에 매핑됩니다. |
| cluster.uuid | additional.fields.uuid.value.string_value | 원시 로그 필드 cluster.uuid에서 직접 매핑됩니다. |
| 구성요소 | additional.fields.component.value.string_value | 원시 로그 필드 component에서 직접 매핑됩니다. |
| destination.bytes | network.sent_bytes | 흐름 이벤트의 원시 로그 필드 destination.bytes에서 직접 매핑됩니다. |
| destination.ip | target.ip | network.direction이 INBOUND 또는 OUTBOUND가 아닌 경우 원시 로그 필드 destination.ip에서 직접 매핑됩니다. |
| destination.mac | target.mac | 흐름 이벤트의 원시 로그 필드 destination.mac에서 직접 매핑됩니다. |
| destination.port | target.port | 흐름 이벤트의 원시 로그 필드 destination.port에서 직접 매핑됩니다. |
| dhcpv4.assigned_ip | network.dhcp.requested_address | 원시 로그 필드 dhcpv4.assigned_ip에서 직접 매핑됩니다. |
| dhcpv4.client_ip | network.dhcp.yiaddr (ACK) / network.dhcp.ciaddr (REQUEST) / source.ip (dhcpv4.client_ip가 비어 있는 경우 REQUEST) | network.dhcp.type 필드를 기반으로 매핑됩니다. ACK인 경우 network.dhcp.yiaddr에 매핑됩니다. REQUEST인 경우 network.dhcp.ciaddr에 매핑됩니다. 요청과 dhcpv4.client_ip가 비어 있으면 source.ip에 매핑됩니다. |
| dhcpv4.client_mac | network.dhcp.client_identifier | 바이트로 변환한 후 원시 로그 필드 dhcpv4.client_mac에서 직접 매핑됩니다. |
| dhcpv4.op_code | network.dhcp.opcode | dhcpv4.op_code 값을 기반으로 network.dhcp.opcode에 매핑됩니다. dhcpv4.op_code이 BOOTREPLY 또는 BOOTREQUEST이면 값이 직접 매핑됩니다. 그렇지 않으면 UNKNOWN_OPCODE에 매핑됩니다. |
| dhcpv4.option.hostname | network.dhcp.client_hostname | 원시 로그 필드 dhcpv4.option.hostname에서 직접 매핑됩니다. |
| dhcpv4.option.ip_address_lease_time_sec | network.dhcp.lease_time_seconds | 원시 로그 필드 dhcpv4.option.ip_address_lease_time_sec에서 부호 없는 정수로 변환된 후 직접 매핑됩니다. |
| dhcpv4.option.message_type | network.dhcp.type | dhcpv4.option.message_type 값을 기반으로 network.dhcp.type에 매핑됩니다. 매핑은 다음과 같습니다. ack -> ACK, nack -> NAK, discover -> DISCOVER, offer -> OFFER, request -> REQUEST, decline -> DECLINE, release -> RELEASE, info -> INFORM 값이 이 중 하나가 아니면 UNKNOWN_MESSAGE_TYPE에 매핑됩니다. |
| dhcpv4.option.server_identifier | network.dhcp.sname | 원시 로그 필드 dhcpv4.option.server_identifier에서 직접 매핑됩니다. |
| dns.answers.data | network.dns.answers.data | 원시 로그 필드 dns.answers.data에서 직접 매핑됩니다. |
| dns.answers.class | network.dns.answers.class | dns.answers.class 값을 기반으로 network.dns.answers.class에 매핑됩니다. 매핑은 IN -> 1, NONE -> 254, ANY -> 255와 같습니다. |
| dns.answers.name | network.dns.answers.name | 원시 로그 필드 dns.answers.name에서 직접 매핑됩니다. |
| dns.answers.ttl | network.dns.answers.ttl | 원시 로그 필드 dns.answers.ttl에서 부호 없는 정수로 변환된 후 직접 매핑됩니다. |
| dns.answers.type | network.dns.answers.type | dns.answers.type 값을 기반으로 network.dns.answers.type에 매핑됩니다. 매핑은 다음과 같습니다. A -> 1, NS -> 2, CNAME -> 5, SOA -> 6, PTR -> 12, MX -> 15, TXT -> 16, AAAA -> 28, SRV -> 33, NAPTR -> 35, DS -> 43, DNSKEY -> 48, IXFR -> 251, AXFR -> 252, TYPE99 -> 99, TKEY -> 249, ANY -> 255, ALL -> 255, URI -> 256, NULL -> 0 |
| dns.flags.authoritative | network.dns.authoritative | dns.flags.authoritative이 true인 경우 원시 로그 필드에서 직접 매핑됩니다. |
| dns.flags.recursion_available | network.dns.recursion_available | dns.flags.recursion_available이 true인 경우 원시 로그 필드에서 직접 매핑됩니다. |
| dns.flags.recursion_desired | network.dns.recursion_desired | dns.flags.recursion_desired이 true인 경우 원시 로그 필드에서 직접 매핑됩니다. |
| dns.flags.truncated_response | network.dns.truncated | dns.flags.truncated_response이 true인 경우 원시 로그 필드에서 직접 매핑됩니다. |
| dns.id | network.dns.id | 원시 로그 필드 dns.id에서 부호 없는 정수로 변환된 후 직접 매핑됩니다. |
| dns.question.class | network.dns.questions.class | dns.question.class 값을 기반으로 network.dns.questions.class에 매핑됩니다. 매핑은 IN -> 1, NONE -> 254, ANY -> 255와 같습니다. |
| dns.question.name | network.dns.questions.name | 원시 로그 필드 dns.question.name에서 직접 매핑됩니다. |
| dns.question.type | network.dns.questions.type | dns.question.type 값을 기반으로 network.dns.questions.type에 매핑됩니다. 매핑은 다음과 같습니다. A -> 1, NS -> 2, CNAME -> 5, SOA -> 6, PTR -> 12, MX -> 15, TXT -> 16, AAAA -> 28, SRV -> 33, NAPTR -> 35, DS -> 43, DNSKEY -> 48, IXFR -> 251, AXFR -> 252, TYPE99 -> 99, TKEY -> 249, ANY -> 255, ALL -> 255, URI -> 256, NULL -> 0 |
| dns.resolved_ip | network.dns.additional.data | dns.resolved_ip 배열의 각 요소가 처리되고 network.dns.additional.data 필드에 매핑됩니다. |
| dns.response_code | network.dns.response_code | dns.response_code 값을 기반으로 network.dns.response_code에 매핑됩니다. 매핑은 다음과 같습니다. NOERROR -> 0, FORMERR -> 1, SERVFAIL -> 2, NXDOMAIN -> 3, NOTIMP -> 4, REFUSED -> 5, YXDOMAIN -> 6, YXRRSET -> 7, NXRRSET -> 8, NOTAUTH -> 9, NOTZONE -> 10. |
| error.message | security_result.summary | HTTP 이벤트의 security_result.summary 필드를 형성하기 위해 status와 연결됩니다. |
| event.dataset | metadata.product_event_type | 원시 로그 필드 event.dataset에서 직접 매핑됩니다. |
| flow.final | 흐름이 최종인지 확인하는 데 사용됩니다. 그렇지 않으면 이벤트가 삭제됩니다. | |
| flow.id | network.session_id | 흐름 이벤트의 원시 로그 필드 flow.id에서 직접 매핑됩니다. |
| headers.accept_encoding | security_result.about.labels.Accept-Encoding | 원시 로그 필드 headers.accept_encoding에서 직접 매핑됩니다. |
| headers.content_length | additional.fields.content_length.value.string_value | 원시 로그 필드 headers.content_length에서 직접 매핑됩니다. |
| headers.content_type | additional.fields.content_type.value.string_value | 원시 로그 필드 headers.content_type에서 직접 매핑됩니다. |
| headers.http_accept | additional.fields.http_accept.value.string_value | 원시 로그 필드 headers.http_accept에서 직접 매핑됩니다. |
| headers.http_host | principal.hostname, principal.asset.hostname | 원시 로그 필드 headers.http_host에서 직접 매핑됩니다. |
| headers.http_user_agent | network.http.user_agent | 원시 로그 필드 headers.http_user_agent에서 직접 매핑됩니다. |
| headers.request_method | network.http.method | 원시 로그 필드 headers.request_method에서 직접 매핑됩니다. |
| headers.x_b3_parentspanid | additional.fields.x_b3_parentspanid.value.string_value | 원시 로그 필드 headers.x_b3_parentspanid에서 직접 매핑됩니다. |
| headers.x_b3_sampled | additional.fields.x_b3_sampled.value.string_value | 원시 로그 필드 headers.x_b3_sampled에서 직접 매핑됩니다. |
| headers.x_envoy_attempt_count | security_result.about.labels.x_envoy_attempt_count | 원시 로그 필드 headers.x_envoy_attempt_count에서 직접 매핑됩니다. |
| headers.x_envoy_original_path | additional.fields.x_envoy_original_path.value.string_value | 원시 로그 필드 headers.x_envoy_original_path에서 직접 매핑됩니다. |
| headers.x_forwarded_client_cert | additional.fields.client_cert.value.string_value | 원시 로그 필드 headers.x_forwarded_client_cert에서 직접 매핑됩니다. |
| headers.x_forwarded_for | principal.ip, principal.asset.ip | grok을 사용하여 IP 주소를 추출한 후 원시 로그 필드 headers.x_forwarded_for에서 직접 매핑됩니다. |
| headers.x_forwarded_proto | additional.fields.x_forwarded_proto.value.string_value | 원시 로그 필드 headers.x_forwarded_proto에서 직접 매핑됩니다. |
| headers.x_request_id | additional.fields.x_request_id.value.string_value | 원시 로그 필드 headers.x_request_id에서 직접 매핑됩니다. |
| 호스트 | principal.ip, principal.asset.ip | grok을 사용하여 IP 주소를 추출한 후 원시 로그 필드 host에서 직접 매핑됩니다. |
| http.request.method | network.http.method | 원시 로그 필드 http.request.method에서 직접 매핑됩니다. |
| 레벨 | security_result.severity | level 값을 기반으로 security_result.severity에 매핑됩니다. 매핑은 INFO -> INFORMATIONAL, ERROR -> ERROR, WARNING -> LOW입니다. |
| logger | additional.fields.logger.value.string_value | 원시 로그 필드 logger에서 직접 매핑됩니다. |
| method | 이벤트가 DNS 이벤트인지 확인하는 데 사용됩니다. | |
| msg | security_result.description | 따옴표를 삭제한 후 원시 로그 필드 msg에서 직접 매핑됩니다. |
| network.community_id | network.community_id | 원시 로그 필드 network.community_id에서 직접 매핑됩니다. |
| network.direction | network.direction | 원시 로그 필드 network.direction에서 대문자로 변환한 후 직접 매핑됩니다. 값이 INGRESS 또는 INBOUND이면 INBOUND에 매핑됩니다. 값이 EGRESS 또는 OUTBOUND이면 OUTBOUND에 매핑됩니다. |
| network.protocol | network.application_protocol | 원시 로그 필드 network.protocol에서 직접 매핑됩니다. |
| network.transport | network.ip_protocol | TLS 이벤트의 원시 로그 필드 network.transport에서 직접 매핑됩니다. |
| server.bytes | network.sent_bytes (인바운드) / network.received_bytes (아웃바운드) | network.direction 필드를 기반으로 매핑됩니다. INBOUND인 경우 network.sent_bytes에 매핑됩니다. OUTBOUND인 경우 network.received_bytes에 매핑됩니다. |
| server.domain | principal.hostname, principal.asset.hostname (인바운드) / target.hostname, target.asset.hostname (아웃바운드) | network.direction 필드를 기반으로 매핑됩니다. INBOUND인 경우 principal.hostname에 매핑됩니다. OUTBOUND인 경우 target.hostname에 매핑됩니다. |
| server.ip | principal.ip, principal.asset.ip (인바운드) / target.ip, target.asset.ip (아웃바운드) | network.direction 필드를 기반으로 매핑됩니다. INBOUND인 경우 principal.ip에 매핑됩니다. OUTBOUND인 경우 target.ip에 매핑됩니다. |
| server.port | principal.port (인바운드) / target.port (아웃바운드) | network.direction 필드를 기반으로 매핑됩니다. INBOUND인 경우 principal.port에 매핑됩니다. OUTBOUND인 경우 target.port에 매핑됩니다. |
| source.bytes | network.received_bytes | 흐름 이벤트의 원시 로그 필드 source.bytes에서 직접 매핑됩니다. |
| source.ip | principal.ip, principal.asset.ip | 흐름 이벤트의 원시 로그 필드 source.ip에서 직접 매핑됩니다. |
| source.mac | principal.mac | 흐름 이벤트의 원시 로그 필드 source.mac에서 직접 매핑됩니다. |
| source.port | principal.port | 흐름 이벤트의 원시 로그 필드 source.port에서 직접 매핑됩니다. |
| 상태 | metadata.description, security_result.summary | level이 비어 있으면 metadata.description에 매핑됩니다. error.message와 연결되어 HTTP 및 TLS 이벤트의 security_result.summary 필드를 형성합니다. |
| tls.client.ja3 | network.tls.client.ja3 | 원시 로그 필드 tls.client.ja3에서 직접 매핑됩니다. |
| tls.client.server_name | network.tls.client.server_name | 원시 로그 필드 tls.client.server_name에서 직접 매핑됩니다. |
| tls.client.supported_ciphers | network.tls.client.supported_ciphers | tls.client.supported_ciphers 배열의 각 요소가 처리되어 network.tls.client.supported_ciphers 배열에 매핑됩니다. |
| tls.cipher | network.tls.cipher | 원시 로그 필드 tls.cipher에서 직접 매핑됩니다. |
| tls.detailed.server_certificate.not_after | network.tls.server.certificate.not_after | 타임스탬프로 변환된 후 원시 로그 필드 tls.detailed.server_certificate.not_after에서 직접 매핑됩니다. |
| tls.detailed.server_certificate.not_before | network.tls.server.certificate.not_before | 타임스탬프로 변환된 후 원시 로그 필드 tls.detailed.server_certificate.not_before에서 직접 매핑됩니다. |
| tls.detailed.server_certificate.serial_number | network.tls.server.certificate.serial | 원시 로그 필드 tls.detailed.server_certificate.serial_number에서 직접 매핑됩니다. |
| tls.detailed.server_certificate.version | network.tls.server.certificate.version | 원시 로그 필드 tls.detailed.server_certificate.version를 문자열로 변환한 후 직접 매핑됩니다. |
| tls.established | network.tls.established | 원시 로그 필드 tls.established에서 직접 매핑됩니다. |
| tls.next_protocol | network.tls.next_protocol | 원시 로그 필드 tls.next_protocol에서 직접 매핑됩니다. |
| tls.resumed | network.tls.resumed | 원시 로그 필드 tls.resumed에서 직접 매핑됩니다. |
| tls.server.hash.sha1 | network.tls.server.certificate.sha1 | 소문자로 변환한 후 원시 로그 필드 tls.server.hash.sha1에서 직접 매핑됩니다. |
| tls.server.issuer | network.tls.server.certificate.issuer | 원시 로그 필드 tls.server.issuer에서 직접 매핑됩니다. |
| tls.server.subject | network.tls.server.certificate.subject | 원시 로그 필드 tls.server.subject에서 직접 매핑됩니다. |
| tls.version | network.tls.version | 원시 로그 필드 tls.version에서 직접 매핑됩니다. |
| tls.version_protocol | network.tls.version_protocol | 원시 로그 필드 tls.version_protocol에서 직접 매핑됩니다. |
| 유형 | 이벤트가 DNS 이벤트인지 확인하는 데 사용됩니다. | |
| url.full | principal.url (인바운드) / target.url (아웃바운드) | network.direction 필드를 기반으로 매핑됩니다. INBOUND인 경우 principal.url에 매핑됩니다. OUTBOUND인 경우 target.url에 매핑됩니다. |
| user_id | target.user.userid | 원시 로그 필드 user_id에서 직접 매핑됩니다. |
| user_name | target.user.user_display_name | 원시 로그 필드 user_name에서 직접 매핑됩니다. |
| metadata.event_type | 기본적으로 GENERIC_EVENT로 설정합니다. 로그 소스 및 이벤트 데이터에 따라 특정 이벤트 유형으로 변경되었습니다. |
|
| metadata.vendor_name | 기본적으로 Elastic로 설정합니다. |
|
| metadata.product_name | 기본적으로 PacketBeat로 설정합니다. |
|
| security_result.action | 기본적으로 ALLOW로 설정합니다. |
|
| metadata.log_type | 기본적으로 ELASTIC_PACKETBEATS로 설정합니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.