Microsoft Exchange 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Bindplane을 사용하여 Microsoft Exchange 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 EXCHANGE_MAIL 수집 라벨이 있는 파서에 적용됩니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Microsoft Exchange Server가 설치된 Windows Server 2016 이상
- Exchange Server에 대한 관리 액세스
- 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
- 다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
추가 설치 리소스
- 추가 설치 옵션은 이 설치 가이드를 참고하세요.
Windows 이벤트 로그를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일에 액세스합니다.
config.yaml파일을 찾습니다. 일반적으로 Windows의 `C:\Program Files\observIQ OpenTelemetry Collector` 디렉터리에 있습니다.- 텍스트 편집기 (예: 메모장 또는 Notepad++)를 사용하여 파일을 엽니다.
다음과 같이
config.yaml파일을 수정합니다.receivers: windowseventlog/exchange_application: channel: Application raw: true max_reads: 100 poll_interval: 5s start_at: end windowseventlog/exchange_system: channel: System raw: true max_reads: 100 poll_interval: 5s start_at: end windowseventlog/exchange_management: channel: MSExchange Management raw: true max_reads: 100 poll_interval: 5s start_at: end processors: batch: exporters: chronicle/exchange: compression: gzip # Adjust the path to the credentials file you downloaded earlier creds_file_path: 'C:\path\to\ingestion-authentication-file.json' # Replace with your actual customer ID customer_id: <PLACEHOLDER_CUSTOMER_ID> endpoint: <YOUR_REGIONAL_ENDPOINT> # Add ingestion labels for Exchange logs log_type: 'EXCHANGE_MAIL' raw_log_field: body ingestion_labels: service: pipelines: logs/exchange: receivers: - windowseventlog/exchange_application - windowseventlog/exchange_system - windowseventlog/exchange_management processors: - batch exporters: - chronicle/exchange<PLACEHOLDER_CUSTOMER_ID>을 이전에 가져온 실제 고객 ID로 바꿉니다.<YOUR_REGIONAL_ENDPOINT>을 리전별 엔드포인트 문서의 적절한 리전별 엔드포인트로 바꿉니다.- Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로
/path/to/ingestion-authentication-file.json를 업데이트합니다.
구성 참고사항
- 애플리케이션 채널: 서비스 시작, 오류, 경고 등 Exchange Server의 애플리케이션 수준 이벤트를 수집합니다.
- 시스템 채널: Exchange Server 작동에 영향을 줄 수 있는 시스템 수준 이벤트를 수집합니다.
- MSExchange Management 채널: PowerShell cmdlet 실행 및 관리 작업을 비롯한 Exchange 관련 관리 이벤트를 수집합니다.
- raw: true: 포괄적인 파싱을 위해 원래 형식으로 전체 Windows 이벤트 로그 항목을 전송합니다.
- start_at: end: 현재 시점부터 새로운 이벤트 수집을 시작합니다 (이전 로그는 수집하지 않음).
변경사항을 적용하려면 Bindplane 에이전트를 다시 시작하세요.
Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 관리자로 다음 명령어를 입력하면 됩니다.
net stop "observIQ OpenTelemetry Collector" && net start "observIQ OpenTelemetry Collector"
UDM 매핑
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| c-ip | read_only_udm.target.asset.ip | 'c-ip' 필드에서 가져온 값 |
| c-ip | read_only_udm.target.ip | 'c-ip' 필드에서 가져온 값 |
| client-hostname | read_only_udm.principal.asset.hostname | 'client-hostname' 필드에서 가져온 값 |
| client-hostname | read_only_udm.principal.hostname | 'client-hostname' 필드에서 가져온 값 |
| client-ip | read_only_udm.principal.asset.ip | 'client-ip' 필드에서 가져온 값 |
| client-ip | read_only_udm.principal.ip | 'client-ip' 필드에서 가져온 값 |
| 1 열 | read_only_udm.metadata.event_timestamp | 'column1' 필드에서 가져온 값 |
| column10 | read_only_udm.intermediary.resource.attribute.labels.value | 'column10' 필드에서 가져온 값 |
| column11 | read_only_udm.network.email.mail_id | 'column11' 필드에서 가져온 값 |
| column12 | read_only_udm.additional.fields.value.string_value | 'column12' 필드에서 가져온 값 |
| column13 | read_only_udm.network.email.to | 'column13' 필드에서 가져온 값 |
| column13 | read_only_udm.target.user.email_addresses | 'column13' 필드에서 가져온 값 |
| column15 | read_only_udm.additional.fields.value.string_value | 'column15' 필드에서 가져온 값 |
| column16 | read_only_udm.target.resource.attribute.labels.value | 'column16' 필드에서 가져온 값 |
| column19 | read_only_udm.network.email.subject | 'column19' 필드에서 가져온 값 |
| column2 | read_only_udm.principal.asset.ip | 'column2' 필드에서 가져온 값 |
| column2 | read_only_udm.principal.ip | 'column2' 필드에서 가져온 값 |
| column20 | read_only_udm.network.email.from | 'column20' 필드에서 가져온 값 |
| column20 | read_only_udm.principal.user.email_addresses | 'column20' 필드에서 가져온 값 |
| column21 | read_only_udm.security_result.detection_fields.value | 'column21' 필드에서 가져온 값 |
| column22 | read_only_udm.security_result.description | 'column22' 필드에서 가져온 값 |
| column24 | read_only_udm.additional.fields.value.string_value | 'column24' 필드에서 가져온 값 |
| column25 | read_only_udm.principal.asset.ip | 'column25' 필드에서 가져온 값 |
| column25 | read_only_udm.principal.ip | 'column25' 필드에서 가져온 값 |
| column26 | read_only_udm.target.asset.ip | 'column26' 필드에서 가져온 값 |
| column26 | read_only_udm.target.ip | 'column26' 필드에서 가져온 값 |
| column27 | read_only_udm.security_result.detection_fields.value | 'column27' 필드에서 가져온 값 |
| column28 | read_only_udm.additional.fields.value.string_value | 'column28' 필드에서 가져온 값 |
| column29 | read_only_udm.metadata.product_log_id | 'column29' 필드에서 가져온 값 |
| column3 | read_only_udm.principal.asset.hostname | 'column3' 필드에서 가져온 값 |
| column3 | read_only_udm.principal.hostname | 'column3' 필드에서 가져온 값 |
| column30 | read_only_udm.metadata.product_version | 'column30' 필드에서 가져온 값 |
| column4 | read_only_udm.target.asset.ip | 'column4' 필드에서 가져온 값 |
| column4 | read_only_udm.target.ip | 'column4' 필드에서 가져온 값 |
| column5 | read_only_udm.target.asset.hostname | 'column5' 필드에서 가져온 값 |
| column5 | read_only_udm.target.hostname | 'column5' 필드에서 가져온 값 |
| column6 | read_only_udm.metadata.event_timestamp | 'column6' 필드에서 가져온 값 |
| column6 | read_only_udm.network.http.response_code | 'column6' 필드에서 가져온 값 |
| column6 | read_only_udm.network.session_id | 'column6' 필드에서 가져온 값 |
| column6 | read_only_udm.metadata.description | 'column6' 필드에서 가져온 값 |
| column7 | read_only_udm.additional.fields.value.string_value | 'column7' 필드에서 가져온 값 |
| column8 | read_only_udm.additional.fields.value.string_value | 'column8' 필드에서 가져온 값 |
| column9 | read_only_udm.metadata.product_event_type | 'column9' 필드에서 가져온 값 |
| connector_id | read_only_udm.additional.fields.value.string_value | 'connector-id' 필드에서 가져온 값 |
| cs-method | read_only_udm.network.http.method | 'cs-method' 필드에서 가져온 값 |
| cs-uri-query | read_only_udm.target.url | 'cs-uri-query' 필드에서 가져온 값 |
| cs-uri-stem | read_only_udm.target.url | 'cs-uri-stem' 필드에서 가져온 값 |
| csReferer | read_only_udm.network.http.referral_url | 'csReferer' 필드에서 가져온 값 |
| csUser-Agent | read_only_udm.network.http.user_agent | 'csUser-Agent' 필드에서 가져온 값 |
| cs-username | read_only_udm.principal.user.userid | 'cs-username' 필드에서 가져온 값 |
| custom-data | read_only_udm.security_result.detection_fields.value | 'custom-data' 필드에서 가져온 값 |
| 데이터 | read_only_udm.security_result.about.labels.value | 'data' 필드에서 가져온 값 |
| 데이터 | read_only_udm.security_result.description | 'data' 필드에서 가져온 값 |
| 데이터 | read_only_udm.network.email.from | 'data' 필드에서 가져온 값 |
| 데이터 | read_only_udm.network.email.to | 'data' 필드에서 가져온 값 |
| 데이터 | read_only_udm.target.hostname | 'data' 필드에서 가져온 값 |
| 데이터 | read_only_udm.security_result.description | 'data' 필드에서 가져온 값 |
| 데이터 | read_only_udm.network.sent_bytes | 'data' 필드에서 가져온 값 |
| 데이터 | read_only_udm.target.user.email_addresses | 'data' 필드에서 가져온 값 |
| 날짜 | read_only_udm.metadata.event_timestamp | 'date' 및 'time' 필드에서 가져온 값 |
| date-time | read_only_udm.metadata.event_timestamp | 'date-time' 필드에서 가져온 값 |
| DeliveryLatency | read_only_udm.security_result.detection_fields.value | 'custom-data' 또는 'message-info'의 'DeliveryLatency' 필드에서 가져온 값 |
| DeliveryPriority | read_only_udm.security_result.detection_fields.value | 'custom-data' 또는 'column21' 필드의 'DeliveryPriority' 필드에서 가져온 값 |
| DeliveryPriority | read_only_udm.security_result.priority | 'DeliveryPriority'가 'Low' 또는 'Normal'인 경우 'LOW_PRIORITY', 'DeliveryPriority'가 'Medium'인 경우 'MEDIUM_PRIORITY', 'DeliveryPriority'가 'High'인 경우 'HIGH_PRIORITY' |
| 방향성 | read_only_udm.network.direction | 'directionality'가 'Incoming'이면 'INBOUND', 'directionality'가 'Originating'이면 'OUTBOUND' |
| E2ELatency | read_only_udm.security_result.detection_fields.value | 'custom-data' 또는 'message-info'의 'E2ELatency' 필드에서 가져온 값 |
| 이벤트 | read_only_udm.metadata.product_event_type | 'event'가 '+'이면 'Connect', 'event'가 '-'이면 'Disconnect', 'event'가 '*'이면 'Information', 'event'가 '>'이면 'Send', 'event'가 '<'이면 'Receive' |
| 이벤트 | read_only_udm.network.direction | 'event'가 '>'이면 'OUTBOUND', 'event'가 '<'이면 'INBOUND' |
| EventID | read_only_udm.security_result.detection_fields.value | 'EventID' 필드에서 가져온 값 |
| EventReceivedTime | read_only_udm.metadata.collected_timestamp | 'EventReceivedTime' 필드에서 가져온 값 |
| EventReceivedTime | read_only_udm.metadata.event_timestamp | 'column6'의 'EventReceivedTime' 필드에서 가져온 값 |
| FirstForestHop | read_only_udm.security_result.detection_fields.value | 'custom-data'의 'FirstForestHop' 필드에서 가져온 값 |
| FromEntity | read_only_udm.security_result.detection_fields.value | 'custom-data' 또는 'message-info'의 'FromEntity' 필드에서 가져온 값 |
| guid | read_only_udm.metadata.product_log_id | 'guid' 필드에서 가져온 값 |
| 호스트 이름 | read_only_udm.principal.asset.hostname | '호스트 이름' 필드에서 가져온 값 |
| 호스트 이름 | read_only_udm.principal.hostname | '호스트 이름' 필드에서 가져온 값 |
| IncludeInSla | read_only_udm.security_result.detection_fields.value | 'custom-data' 또는 'message-info'의 'IncludeInSla' 필드에서 가져온 값 |
| internal-message-id | read_only_udm.intermediary.resource.attribute.labels.value | 'internal-message-id' 필드에서 가져온 값 |
| IsProbe | read_only_udm.security_result.detection_fields.value | 'custom-data' 또는 'column21' 필드의 'IsProbe' 필드에서 가져온 값 |
| 키워드 | read_only_udm.security_result.detection_fields.value | '키워드' 필드에서 가져온 값 |
| local-endpoint | read_only_udm.principal.asset.ip | 'local-endpoint' 필드에서 가져온 값 |
| local-endpoint | read_only_udm.principal.ip | 'local-endpoint' 필드에서 가져온 값 |
| local-endpoint | read_only_udm.principal.port | 'local-endpoint' 필드에서 가져온 값 |
| 우편함 | read_only_udm.security_result.detection_fields.value | 'custom-data' 또는 'message-info'의 'Mailboxes' 필드에서 가져온 값 |
| MailboxDatabaseGuid | read_only_udm.security_result.detection_fields.value | 'custom-data' 또는 'message-info'의 'MailboxDatabaseGuid' 필드에서 가져온 값 |
| 발신자 | read_only_udm.network.email.from | 'data'의 'MAIL FROM' 필드에서 가져온 값 |
| 발신자 | read_only_udm.principal.user.email_addresses | 'data'의 'MAIL FROM' 필드에서 가져온 값 |
| MAIL From | read_only_udm.network.email.from | 'data'의 'MAIL From' 필드에서 가져온 값 |
| MAIL From | read_only_udm.principal.user.email_addresses | 'data'의 'MAIL From' 필드에서 가져온 값 |
| message-id | read_only_udm.network.email.mail_id | 'message-id' 필드에서 가져온 값 |
| message-info | read_only_udm.security_result.detection_fields.value | 'message-info' 필드에서 가져온 값 |
| message-info | read_only_udm.security_result.description | 'message-info' 필드에서 가져온 값 |
| MessageValue | read_only_udm.security_result.detection_fields.value | 'custom-data'의 'MessageValue' 필드에서 가져온 값 |
| message-subject | read_only_udm.network.email.subject | 'message-subject' 필드에서 가져온 값 |
| method | read_only_udm.network.http.method | 'method' 필드에서 가져온 값 |
| Microsoft_Exchange_Transport_MailRecipient_RequiredTlsAuthLevel | read_only_udm.security_result.detection_fields.value | 'custom-data'의 'Microsoft_Exchange_Transport_MailRecipient_RequiredTlsAuthLevel' 필드에서 가져온 값 |
| MsgRecipCount | read_only_udm.security_result.detection_fields.value | 'custom-data' 또는 'message-info'의 'MsgRecipCount' 필드에서 가져온 값 |
| network-message-id | read_only_udm.additional.fields.value.string_value | 'network-message-id' 필드에서 가져온 값 |
| OriginalFromAddress | read_only_udm.principal.user.email_addresses | 'custom-data' 또는 'column21' 필드의 'OriginalFromAddress' 필드에서 가져온 값 |
| P2RecipStat | read_only_udm.security_result.detection_fields.value | 'custom-data' 또는 'message-info'의 'P2RecipStat' 필드에서 가져온 값 |
| PersistProbeTrace | read_only_udm.security_result.detection_fields.value | 'custom-data' 또는 'column21' 필드의 'PersistProbeTrace' 필드에서 가져온 값 |
| PrioritizationReason | read_only_udm.security_result.detection_fields.value | 'custom-data'의 'PrioritizationReason' 필드에서 가져온 값 |
| ProbeType | read_only_udm.security_result.detection_fields.value | 'custom-data' 또는 'column21' 필드의 'ProbeType' 필드에서 가져온 값 |
| ProcessID | read_only_udm.principal.process.pid | 'ProcessID' 필드에서 가져온 값 |
| ProxiedClientHostname | read_only_udm.intermediary.hostname | 'custom-data'의 'ProxiedClientHostname' 필드에서 가져온 값 |
| ProxiedClientIPAddress | read_only_udm.intermediary.asset.ip | 'custom-data'의 'ProxiedClientIPAddress' 필드에서 가져온 값 |
| ProxiedClientIPAddress | read_only_udm.intermediary.ip | 'custom-data'의 'ProxiedClientIPAddress' 필드에서 가져온 값 |
| ProxyHop1 | read_only_udm.security_result.detection_fields.value | 'custom-data'의 'ProxyHop1' 필드에서 가져온 값 |
| RCPT TO | read_only_udm.network.email.to | 'data'의 'RCPT TO' 필드에서 가져온 값 |
| RCPT TO | read_only_udm.target.user.email_addresses | 'data'의 'RCPT TO' 필드에서 가져온 값 |
| RCPT To | read_only_udm.network.email.to | 'data'의 'RCPT To' 필드에서 가져온 값 |
| RCPT To | read_only_udm.target.user.email_addresses | 'data'의 'RCPT To' 필드에서 가져온 값 |
| recipient-address | read_only_udm.target.user.email_addresses | 'recipient-address' 필드에서 가져온 값 |
| recipient-count | read_only_udm.target.resource.attribute.labels.value | 'recipient-count' 필드에서 가져온 값 |
| recipient-status | read_only_udm.target.resource.attribute.labels.value | 'recipient-status' 필드에서 가져온 값 |
| remote-endpoint | read_only_udm.target.asset.ip | 'remote-endpoint' 필드에서 가져온 값 |
| remote-endpoint | read_only_udm.target.ip | 'remote-endpoint' 필드에서 가져온 값 |
| remote-endpoint | read_only_udm.target.port | 'remote-endpoint' 필드에서 가져온 값 |
| res_code | read_only_udm.network.http.response_code | 'res_code' 필드에서 가져온 값 |
| s-ip | read_only_udm.principal.asset.ip | 's-ip' 필드에서 가져온 값 |
| s-ip | read_only_udm.principal.ip | 's-ip' 필드에서 가져온 값 |
| s-port | read_only_udm.principal.port | 's-port' 필드에서 가져온 값 |
| sc-status | read_only_udm.network.http.response_code | 'sc-status' 필드에서 가져온 값 |
| sc-substatus | read_only_udm.additional.fields.value.string_value | 'sc-substatus' 필드에서 가져온 값 |
| sender-address | read_only_udm.network.email.from | 'sender-address' 필드에서 가져온 값 |
| sender-address | read_only_udm.principal.user.email_addresses | 'sender-address' 필드에서 가져온 값 |
| sequence-number | read_only_udm.additional.fields.value.number_value | 'sequence-number' 필드에서 가져온 값 |
| server-hostname | read_only_udm.target.asset.hostname | 'server-hostname' 필드에서 가져온 값 |
| server-hostname | read_only_udm.target.hostname | 'server-hostname' 필드에서 가져온 값 |
| server-ip | read_only_udm.target.asset.ip | 'server-ip' 필드에서 가져온 값 |
| server-ip | read_only_udm.target.ip | 'server-ip' 필드에서 가져온 값 |
| session-id | read_only_udm.network.session_id | 'session-id' 필드에서 가져온 값 |
| sessionid | read_only_udm.network.session_id | 'sessionid' 필드에서 가져온 값 |
| 심각도 | read_only_udm.security_result.severity | '심각도'에 '정보'가 포함된 경우 'INFORMATIONAL', '심각도'에 '오류'가 포함된 경우 'ERROR', '심각도'에 '경고'가 포함된 경우 'MEDIUM', 그렇지 않은 경우 'UNKNOWN_SEVERITY' |
| SeverityValue | read_only_udm.security_result.severity_details | 'SeverityValue' 필드에서 가져온 값 |
| SlaExclusionReason | read_only_udm.security_result.detection_fields.value | 'custom-data'의 'SlaExclusionReason' 필드에서 가져온 값 |
| source | read_only_udm.additional.fields.value.string_value | 'source' 필드에서 가져온 값 |
| SourceModuleName | read_only_udm.principal.resource.name | 'SourceModuleName' 필드에서 가져온 값 |
| SourceModuleType | read_only_udm.principal.resource.type | 'SourceModuleType' 필드에서 가져온 값 |
| SourceName | read_only_udm.principal.resource.attribute.labels.value | 'SourceName' 필드에서 가져온 값 |
| StoreObjectIds | read_only_udm.security_result.detection_fields.value | 'custom-data' 또는 'message-info'의 'StoreObjectIds' 필드에서 가져온 값 |
| 작업 | read_only_udm.security_result.detection_fields.value | '작업' 필드에서 가져온 값 |
| ThreadID | read_only_udm.security_result.detection_fields.value | 'ThreadID' 필드에서 가져온 값 |
| 시간 | read_only_udm.metadata.event_timestamp | 'date' 및 'time' 필드에서 가져온 값 |
| ToEntity | read_only_udm.security_result.detection_fields.value | 'custom-data' 또는 'message-info'의 'ToEntity' 필드에서 가져온 값 |
| total-bytes | read_only_udm.additional.fields.value.string_value | 'total-bytes' 필드에서 가져온 값 |
| TransportTrafficSubType | read_only_udm.security_result.detection_fields.value | 'custom-data'의 'TransportTrafficSubType' 필드에서 가져온 값 |
| TransportTrafficSubType | read_only_udm.metadata.product_version | 'custom-data'의 'TransportTrafficSubType' 필드에서 가져온 값 |
| ts | read_only_udm.metadata.event_timestamp | 'ts' 필드에서 가져온 값 |
| u_agent | read_only_udm.network.http.user_agent | 'u_agent' 필드에서 가져온 값 |
| u_param | read_only_udm.target.url | 'u_param' 필드에서 가져온 값 |
| u_path | read_only_udm.target.url | 'u_path' 필드에서 가져온 값 |
| u_path | read_only_udm.target.url | 'u_path' 및 'u_param' 필드에서 가져온 값 |
| 사용자 | read_only_udm.target.user.userid | 'user' 필드에서 가져온 값 |
| 사용자 | read_only_udm.target.user.email_addresses | 'user' 필드에서 가져온 값 |
| metadata.event_type | read_only_udm.metadata.event_type | 'has_principal_email'이 'true'이고 'has_target_email'이 'true'이면 'EMAIL_TRANSACTION', 'event_type'이 'GENERIC_EVENT'이고 'principal_hostname' 또는 's_ip' 또는 'host'가 비어 있지 않거나 'has_principal'이 'true'이면 'STATUS_UPDATE', 'event_type'이 'GENERIC_EVENT'이고 'has_principal_email'이 'true'이거나 'has_target_email'이 'true'이면 'USER_UNCATEGORIZED', 그 외에는 'event_type' 필드에서 가져온 값 |
| metadata.log_type | read_only_udm.metadata.log_type | 하드 코딩된 값 'EXCHANGE_MAIL' |
| metadata.product_name | read_only_udm.metadata.product_name | 하드코딩된 값 'Exchange Mail' |
| metadata.vendor_name | read_only_udm.metadata.vendor_name | 하드코딩된 값 'Microsoft' |
| network.application_protocol | read_only_udm.network.application_protocol | 'app_protocol'이 'SMTP', 'HTTP' 또는 'HTTPS'인 경우 'app_protocol' 필드에서 가져온 값입니다. 'app_protocol'에 'SMTP'가 포함된 경우 'SMTP'입니다. |
| network.direction | read_only_udm.network.direction | 's_ip'가 비어 있지 않으면 'INBOUND' |
| network.email.from | read_only_udm.network.email.from | 'from_mail' 필드에서 가져온 값 |
| network.email.mail_id | read_only_udm.network.email.mail_id | 'msg_id' 필드에서 가져온 값 |
| network.email.subject | read_only_udm.network.email.subject | 'column19' 필드에서 가져온 값 |
| network.email.to | read_only_udm.network.email.to | 'to_mail' 필드에서 가져온 값 |
| network.http.method | read_only_udm.network.http.method | 'method' 필드에서 가져온 값 |
| network.http.response_code | read_only_udm.network.http.response_code | 'res_code' 필드에서 가져온 값 |
| network.http.user_agent | read_only_udm.network.http.user_agent | 'u_agent' 필드에서 가져온 값 |
| network.sent_bytes | read_only_udm.network.sent_bytes | 'sent_bytes' 필드에서 가져온 값 |
| network.session_id | read_only_udm.network.session_id | 'sessionid' 필드에서 가져온 값 |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | 'principal_hostname' 필드에서 가져온 값 |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | 'host' 필드에서 가져온 값 |
| principal.asset.hostname | read_only_udm.principal.asset.hostname | 'column3' 필드에서 가져온 값 |
| principal.asset.ip | read_only_udm.principal.asset.ip | 'column2' 필드에서 가져온 값 |
| principal.asset.ip | read_only_udm.principal.asset.ip | 'column25' 필드에서 가져온 값 |
| principal.asset.ip | read_only_udm.principal.asset.ip | 's_ip' 필드에서 가져온 값 |
| principal.hostname | read_only_udm.principal.hostname | 'principal_hostname' 필드에서 가져온 값 |
| principal.hostname | read_only_udm.principal.hostname | 'host' 필드에서 가져온 값 |
| principal.hostname | read_only_udm.principal.hostname | 'column3' 필드에서 가져온 값 |
| principal.ip | read_only_udm.principal.ip | 'column2' 필드에서 가져온 값 |
| principal.ip | read_only_udm.principal.ip | 'column25' 필드에서 가져온 값 |
| principal.ip | read_only_udm.principal.ip | 's_ip' 필드에서 가져온 값 |
| principal.port | read_only_udm.principal.port | 's-port' 필드에서 가져온 값 |
| principal.user.email_addresses | read_only_udm.principal.user.email_addresses | 'mail' 필드에서 가져온 값 |
| principal.user.email_addresses | read_only_udm.principal.user.email_addresses | 'email_address' 필드에서 가져온 값 |
| principal.user.userid | read_only_udm.principal.user.userid | 'cs-username' 필드에서 가져온 값 |
| security_result.about.labels.key | read_only_udm.security_result.about.labels.key | 하드 코딩된 값 '응답 코드' |
| security_result.description | read_only_udm.security_result.description | 'context' 필드에서 가져온 값 |
| security_result.description | read_only_udm.security_result.description | 'column22' 필드에서 가져온 값 |
| security_result.priority | read_only_udm.security_result.priority | 'severity'가 '1', '2' 또는 '3'이면 'LOW', 'severity'가 '4', '5' 또는 '6'이면 'MEDIUM', 'severity'가 '7', '8' 또는 '9'이면 'HIGH' |
| security_result.severity | read_only_udm.security_result.severity | '심각도'에 '정보'가 포함된 경우 'INFORMATIONAL', '심각도'에 '오류'가 포함된 경우 'ERROR', '심각도'에 '경고'가 포함된 경우 'MEDIUM', 그렇지 않은 경우 'UNKNOWN_SEVERITY' |
| target.administrative_domain | read_only_udm.target.administrative_domain | 'domain' 필드에서 가져온 값 |
| target.asset.hostname | read_only_udm.target.asset.hostname | 'column5' 필드에서 가져온 값 |
| target.asset.hostname | read_only_udm.target.asset.hostname | 'target_host' 필드에서 가져온 값 |
| target.asset.ip | read_only_udm.target.asset.ip | 'column4' 필드에서 가져온 값 |
| target.asset.ip | read_only_udm.target.asset.ip | 'column26' 필드에서 가져온 값 |
| target.asset.ip | read_only_udm.target.asset.ip | 'c-ip' 필드에서 가져온 값 |
| target.hostname | read_only_udm.target.hostname | 'column5' 필드에서 가져온 값 |
| target.hostname | read_only_udm.target.hostname | 'target_host' 필드에서 가져온 값 |
| target.ip | read_only_udm.target.ip | 'column4' 필드에서 가져온 값 |
| target.ip | read_only_udm.target.ip | 'column26' 필드에서 가져온 값 |
| target.ip | read_only_udm.target.ip | 'c-ip' 필드에서 가져온 값 |
| target.port | read_only_udm.target.port | 'c_port' 필드에서 가져온 값 |
| target.resource.attribute.labels.key | read_only_udm.target.resource.attribute.labels.key | 하드코딩된 값 'Recipients Count' |
| target.user.email_addresses | read_only_udm.target.user.email_addresses | 'user' 필드에서 가져온 값 |
| target.user.user_display_name | read_only_udm.target.user.user_display_name | 'username' 필드에서 가져온 값 |
| target.user.userid | read_only_udm.target.user.userid | 'user' 필드에서 가져온 값 |
| target.url | read_only_udm.target.url | 'u_path' 필드에서 가져온 값 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.