FireEye eMPS 로그 수집

다음에서 지원:

Google secops SIEM

이 문서에서는 Bindplane 에이전트를 사용하여 FireEye eMPS 로그를 Google Security Operations로 수집하는 방법을 설명합니다.

FireEye 이메일 악성코드 방지 시스템 (eMPS)(FireEye EX 시리즈라고도 함, 이전에는 FireEye 이메일 보안이었으며 현재 Trellix 이메일 보안의 일부임)은 이메일 콘텐츠와 첨부 파일을 실시간으로 분석하여 스피어 피싱, 악성코드, 표적 공격 등 지능형 이메일 위협으로부터 조직을 보호하는 이메일 보안 어플라이언스입니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

Google SecOps 인스턴스
Windows Server 2016 이상 또는 systemd가 설치된 Linux 호스트
Bindplane 에이전트와 FireEye eMPS 어플라이언스 간 네트워크 연결
프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
FireEye eMPS 어플라이언스 CLI에 대한 권한 있는 액세스 (관리자 또는 운영자 역할)
syslog 알림 기능이 있는 FireEye eMPS 어플라이언스

Google SecOps 수집 인증 파일 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 수집 에이전트로 이동합니다.
다운로드를 클릭하여 수집 인증 파일을 다운로드합니다.
Bindplane 에이전트가 설치될 시스템에 파일을 안전하게 저장합니다.

참고: 이 JSON 파일에는 Bindplane 에이전트를 Google SecOps에 인증하기 위한 사용자 인증 정보가 포함되어 있습니다.

Google SecOps 고객 ID 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

참고: Bindplane 에이전트 내보내기를 구성하려면 고객 ID가 필요합니다.

Bindplane 에이전트 설치

다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.

Windows 설치

명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

다음 명령어를 실행합니다.

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
```
sc query observiq-otel-collector
```

서비스가 실행 중으로 표시되어야 합니다.

Linux 설치

루트 또는 sudo 권한으로 터미널을 엽니다.

다음 명령어를 실행합니다.

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

설치가 완료될 때까지 기다립니다.

다음을 실행하여 설치를 확인합니다.

sudo systemctl status observiq-otel-collector

서비스가 active (running)으로 표시되어야 합니다.

추가 설치 리소스

추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.

syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

구성 파일 찾기

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

구성 파일 설정

config.yaml의 전체 내용을 다음 구성으로 바꿉니다.

receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/fireeye_emps:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FIREEYE_EMPS
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/fireeye_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/fireeye_emps

구성 매개변수

다음 자리표시자를 바꿉니다.

수신기 구성:

수신기는 포트 514 (표준 syslog 포트)에서 UDP syslog를 사용하도록 구성됩니다.
Linux에서 권한이 없는 포트를 사용하려면 514를 1514 이상으로 변경하세요.
UDP 대신 TCP를 사용하려면 udplog을 tcplog로 바꿉니다.

내보내기 도구 구성:

creds_file_path: 수집 인증 파일의 전체 경로
- Linux: /etc/bindplane-agent/ingestion-auth.json
- Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
customer_id: YOUR_CUSTOMER_ID를 이전 단계의 고객 ID로 바꿉니다.
endpoint: 리전 엔드포인트 URL:
- 미국: malachiteingestion-pa.googleapis.com
- 유럽: europe-malachiteingestion-pa.googleapis.com
- 아시아: asia-southeast1-malachiteingestion-pa.googleapis.com
- 전체 목록은 리전 엔드포인트를 참고하세요.
log_type: Chronicle 파서와 일치하려면 정확히 FIREEYE_EMPS여야 합니다.
ingestion_labels: YAML 형식의 선택적 라벨입니다 (필요에 따라 맞춤설정).

구성 파일 저장

수정 후 파일을 저장합니다.

Linux: Ctrl+O, Enter, Ctrl+X 순으로 누릅니다.
Windows: 파일 > 저장을 클릭합니다.

변경사항을 적용하려면 Bindplane 에이전트를 다시 시작하세요.

Linux

sudo systemctl restart observiq-otel-collector

서비스가 실행 중인지 확인합니다.

sudo systemctl status observiq-otel-collector

로그에서 오류를 확인합니다.

sudo journalctl -u observiq-otel-collector -f

Windows

다음 옵션 중 하나를 선택합니다.
- 명령 프롬프트 또는 PowerShell을 관리자로 사용합니다.
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 서비스 콘솔 사용:
  1. Win+R를 누르고 services.msc를 입력한 다음 Enter 키를 누릅니다.
  2. observIQ OpenTelemetry Collector를 찾습니다.
  3. 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.
  4. 서비스가 실행 중인지 확인합니다.
```
sc query observiq-otel-collector
```
  5. 로그에서 오류를 확인합니다.
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

FireEye eMPS syslog 전달 구성

CLI를 사용하여 syslog 알림을 Bindplane 에이전트로 전달하도록 FireEye eMPS 어플라이언스를 구성합니다.

FireEye eMPS CLI 액세스

SSH 또는 콘솔을 통해 FireEye eMPS 어플라이언스에 연결합니다.
관리자 또는 운영자 권한이 있는 계정으로 로그인합니다.
사용 설정 모드를 입력합니다.
```
hostname> enable
```
구성 모드로 진입합니다.
```
hostname# configure terminal
```

syslog 서버 구성

Bindplane 에이전트를 syslog 트랩 싱크로 추가합니다.
```
hostname(config)# fenotify rsyslog trap-sink chronicle address <BINDPLANE_IP_ADDRESS>
```
<BINDPLANE_IP_ADDRESS>를 Bindplane 에이전트를 실행하는 호스트의 IP 주소로 바꿉니다 (예: 192.168.1.100).

syslog 형식을 CEF (Common Event Format)로 설정합니다.

hostname(config)# fenotify rsyslog trap-sink chronicle prefer message format cef

syslog 기능을 local4로 설정합니다 (권장).

hostname(config)# fenotify syslog default facility local4

이벤트별로 알림을 전송하도록 전송 모드를 설정합니다.

hostname(config)# fenotify rsyslog trap-sink chronicle message delivery per-event

알림 심각도를 알림 수준으로 설정합니다 (권장).

hostname(config)# fenotify rsyslog trap-sink chronicle prefer message send-as alert

프로토콜을 UDP로 설정합니다 (Bindplane에서 구성된 경우 TCP).
```
hostname(config)# fenotify rsyslog trap-sink chronicle protocol udp
```
참고: TCP를 사용하도록 Bindplane 에이전트를 구성한 경우 udp을 tcp로 변경하세요.
포트를 514 (또는 Bindplane에서 구성된 포트)로 설정합니다.
```
hostname(config)# fenotify rsyslog trap-sink chronicle port 514
```
참고: 다른 포트 (예: 1514)를 사용하도록 Bindplane 에이전트를 구성한 경우 514를 일치하도록 변경하세요.

syslog 알림 사용 설정

전역적으로 rsyslog 알림을 사용 설정합니다.
```
hostname(config)# fenotify rsyslog enable
```
전역 알림 사용 설정:
```
hostname(config)# fenotify enable
```
rsyslog에 대해 특정 알림 유형을 사용 설정합니다. 예를 들어 모든 이메일 관련 알림을 사용 설정하려면 다음을 실행합니다.
```
hostname(config)# fenotify rsyslog alert malware-object enable
hostname(config)# fenotify rsyslog alert malware-callback enable
hostname(config)# fenotify rsyslog alert infection-match enable
hostname(config)# fenotify rsyslog alert domain-match enable
```
참고: 모니터링 요구사항과 관련된 알림 유형을 사용 설정하세요. 사용 가능한 알림 유형에는 malware-object, malware-callback, infection-match, domain-match, web-infection, riskware-object, riskware-callback 등이 있으며 FireEye eMPS 버전에 따라 다른 유형도 있을 수 있습니다.
구성 확인
```
hostname(config)# show fenotify alerts
```
이 명령어는 사용 설정된 알림 방법과 알림 유형을 표시합니다.
구성을 저장합니다.
```
hostname(config)# write memory
```
구성 모드를 종료합니다.
```
hostname(config)# exit
hostname# exit
```

syslog 연결 테스트

테스트 syslog 메시지를 보내 연결을 확인합니다.
```
hostname# fenotify rsyslog send-test
```

Bindplane 에이전트 로그를 확인하여 테스트 메시지를 수신했는지 확인합니다.

Linux:

sudo journalctl -u observiq-otel-collector -n 50

Windows:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

로그가 Google SecOps 콘솔에 표시되는지 확인합니다 (초기 수집에 5~10분 소요).

추가 구성 참고사항

FireEye eMPS는 위에 표시된 대로 구성된 경우 CEF (Common Event Format)로 syslog 메시지를 전송합니다.
syslog 메시지에는 발신자, 수신자, 제목, 멀웨어 이름, URL, 파일 해시, 위협 심각도와 같은 이메일 위협 세부정보가 포함됩니다.
방화벽 규칙이 구성된 포트에서 FireEye eMPS 어플라이언스에서 Bindplane 에이전트로 UDP (또는 TCP) 트래픽을 허용하는지 확인합니다.
자세한 CLI 명령어 참조는 https://docs.fireeye.com/의 FireEye 문서 포털을 참고하세요 (로그인 필요).

UDM 매핑 테이블

로그 필드	UDM 매핑	로직
_hash	about.file.sha256	_hash에서 가져온 값
_message	security_result_token.description	has_invalid_msg가 false인 경우 _message에서 가져온 값
IPv6_Address	event.idm.read_only_udm.target.ip	'-'가 아닌 경우 IPv6_Address에서 가져온 값
Action_Taken	security_result.action_details	Action_Taken에서 가져온 값
CustomerName	event.idm.read_only_udm.target.user.user_display_name	따옴표를 삭제한 후 CustomerName에서 가져온 값
Device_name	event.idm.read_only_udm.principal.hostname	있는 경우 Device_name에서 가져온 값
Domene	sntdom	도메인이 없는 경우 Domene에서 가져온 값
도메인	sntdom	도메인에서 가져온 값
Emne	about.process.command_line	Subject가 없는 경우 Emne에서 가져온 값
Enhetsnavn	event.idm.read_only_udm.principal.hostname	Device_name이 없는 경우 Enhetsnavn에서 가져온 값
File_name	event.idm.read_only_udm.target.process.file.full_path	File_name에서 가져온 값
생성됨	event.idm.read_only_udm.metadata.event_timestamp	'생성됨'에서 타임스탬프 형식으로 변환됨
Group_name	event.idm.read_only_udm.principal.group.group_display_name	Group_name에서 가져온 값
Gruppenavn	event.idm.read_only_udm.principal.group.group_display_name	Group_name이 없는 경우 Gruppenavn에서 가져온 값
Infected_Resource	event.idm.read_only_udm.target.process.file.full_path	다른 값이 없는 경우 Infected_Resource에서 가져온 값
Infection_Channel	security_result.detection_fields	키가 '감염 채널'로 설정되고 값이 Infection_Channel에서 가져옴
IPv6_Address	target_machine_id_present	IPv6_Address가 '-'가 아닌 경우 true로 설정
객체	event.idm.read_only_udm.target.process.file.full_path	File_name이 없는 경우 객체에서 가져온 값
Objekt	event.idm.read_only_udm.target.process.file.full_path	다른 값이 없는 경우 Objekt에서 가져온 값
Operasjon	operasjon_label	Operasjon에서 가져온 값
작업	operation_label	작업에서 가져온 값
경로	about.process.command_line	다른 값이 없는 경우 경로에서 가져온 값
권한	permission_label	권한에서 가져온 값
수신됨	event.idm.read_only_udm.metadata.collected_timestamp	'수신됨'에서 타임스탬프 형식으로 변환됨
Resource_Type	event.idm.read_only_udm.target.resource.attribute.labels	키는 'Resource_Type'으로 설정되고 값은 Resource_Type에서 가져옴
결과	security_result.summary	결과에서 가져온 값
Scan_Type	security_result.description	Type이 없는 경우 Scan_Type에서 가져온 값
스파이웨어	security_result.threat_name	스파이웨어에서 가져온 값
Spyware_Grayware_Type	security_result.detection_fields	키가 'Spyware/Grayware_Type'으로 설정되고 값은 Spyware_Grayware_Type에서 가져옴
제목	about.process.command_line	Subject에서 가져온 값
Threat_Probability	security_result.detection_fields	키가 'Threat_Probability'로 설정되고 값이 Threat_Probability에서 가져옴
Tillatelse	tillatelse_label	Tillatelse에서 가져온 값
유형	security_result.description	유형에서 가져온 값
Unknown_Threat	security_result.threat_name	다른 위협이 없는 경우 Unknown_Threat에서 가져온 값
사용자	event.idm.read_only_udm.target.user.userid	사용자로부터 가져온 값
Virus_Malware_Name	security_result.threat_name	스파이웨어가 없는 경우 Virus_Malware_Name에서 가져온 값
_metadata.customer	security_result_token.detection_fields	키가 'Customer'로 설정되고 값이 _metadata.customer에서 가져옴
_metadata.proxy.address	event.idm.read_only_udm.principal.hostname	_metadata.proxy.address에서 가져온 값
_metadata.proxy.address	event.idm.read_only_udm.principal.asset.hostname	_metadata.proxy.address에서 가져온 값
_metadata.source.address	principal.hostname	_metadata.source.address에서 가져온 값
_metadata.source.address	principal.asset.hostname	_metadata.source.address에서 가져온 값
_metadata.source.port	principal.port	_metadata.source.port에서 정수로 변환됨
_metadata.source.type	security_result_token.detection_fields	키가 'Type'으로 설정되고 값은 _metadata.source.type에서 가져옴
_metadata.timestamp.producer_process	event.idm.read_only_udm.metadata.event_timestamp	_metadata.timestamp.producer_process에서 타임스탬프 형식으로 변환됨
_metadata.timestamp.producer_process	metadata.event_timestamp	_metadata.timestamp.producer_process에서 타임스탬프 형식으로 변환됨
정보	event.idm.read_only_udm.about	다음에서 병합됨
about_token	event.idm.read_only_udm.about	about_token에서 병합됨
act	security_result.action	act에서 파생됨: accept/notified → ALLOW, deny/blocked → BLOCK, Failure → FAIL
행동	security_result.action_details	act에서 가져온 값
additional_cs1	event.idm.read_only_udm.additional.fields	키는 cs1Label로 설정되고 값은 cs1에서 가져옴
additional_cs2	event.idm.read_only_udm.additional.fields	키가 cs2Label로 설정되고 값이 cs2에서 가져옴
additional_cs3	event.idm.read_only_udm.additional.fields	cs3Label로 설정된 키, 비어 있지 않은 경우 cs3의 값
additional_cs4	event.idm.read_only_udm.additional.fields	키가 cs4Label로 설정되고 값이 cs4에서 가져옴
additional_cs5	event.idm.read_only_udm.additional.fields	키가 cs5Label로 설정되고 값이 NA가 아닌 경우 cs5에서 가져옴
additional_cs6	event.idm.read_only_udm.additional.fields	cs6Label로 설정된 키, 비어 있지 않은 경우 cs6의 값
additional_cs7	event.idm.read_only_udm.additional.fields	cs7Label로 설정된 키, 비어 있지 않은 경우 cs7의 값
additional_cn1	event.idm.read_only_udm.additional.fields	키가 cn1Label로 설정되고 값이 비어 있지 않은 경우 cn1에서 가져온 값
additional_cn2	event.idm.read_only_udm.additional.fields	cn2Label로 설정된 키, 비어 있지 않은 경우 cn2의 값
additional_cn3	event.idm.read_only_udm.additional.fields	키가 cn3Label로 설정되고 값이 비어 있지 않은 경우 cn3에서 가져옴
additional_cfp1	event.idm.read_only_udm.additional.fields	cfp1Label로 설정된 키, 비어 있지 않은 경우 cfp1의 값
additional_cfp2	event.idm.read_only_udm.additional.fields	cfp2Label로 설정된 키, 비어 있지 않은 경우 cfp2의 값
additional_cfp3	event.idm.read_only_udm.additional.fields	키는 cfp3Label로 설정되고 값은 cfp3에서 가져옵니다(비어 있지 않은 경우).
additional_cfp4	event.idm.read_only_udm.additional.fields	cfp4Label로 설정된 키, 비어 있지 않은 경우 cfp4의 값
additional_devicePayloadId	event.idm.read_only_udm.additional.fields	키가 'devicePayloadId'로 설정되고 값이 devicePayloadId에서 가져옴
additional_eventId	event.idm.read_only_udm.additional.fields	키는 'eventId'로 설정되고 값은 eventId에서 가져옵니다.
additional_fname	event.idm.read_only_udm.additional.fields	키가 'fname'으로 설정되고 값이 N/A가 아닌 경우 fname에서 가져온 값
additional_flexString1	event.idm.read_only_udm.additional.fields	키는 flexString1Label로 설정되고 값은 flexString1에서 가져옴
additional_flexString2	event.idm.read_only_udm.additional.fields	flexString2Label로 설정된 키, 비어 있지 않은 경우 flexString2의 값
앱	app_protocol_src	앱에서 가져온 값
appcategory	security_result.summary	appcategory에서 가져온 값
base64_sha256	event.idm.read_only_udm.network.tls.client.certificate.sha256	Sha256에서 base64 16진수로 변환됨
base64_sha256	event.idm.read_only_udm.target.resource.name	base64_sha256에서 가져온 값
고양이	security_result.category_details	고양이에게서 가져온 값
cs5	cs5_label	라벨이 설정되지 않은 경우 cs5에서 가져온 값
cs5_label	event.idm.read_only_udm.additional.fields	키가 'cs5 Label'로 설정되고 값이 잘못된 경우 cs5에서 가져옴
destinationServiceName	event.idm.read_only_udm.target.application	destinationServiceName에서 가져온 값
destinationTranslatedAddress	event.idm.read_only_udm.target.nat_ip	destinationTranslatedAddress에서 가져온 값
destinationTranslatedPort	event.idm.read_only_udm.target.nat_port	destinationTranslatedPort에서 정수로 변환됨
deviceDirection	event.idm.read_only_udm.network.direction	0이면 INBOUND, 1이면 OUTBOUND로 설정됩니다.
deviceExternalId	about.asset.asset_id	deviceExternalId에서 가져온 값으로, 'device_vendor.device_product:deviceExternalId'입니다.
deviceNtDomain	about.administrative_domain	deviceNtDomain에서 가져온 값
devicePayloadId	additional_devicePayloadId	devicePayloadId에서 가져온 값
deviceProcessName	about.process.command_line	deviceProcessName에서 가져온 값
deviceTranslatedAddress	about.nat_ip	deviceTranslatedAddress에서 가져온 값
device_vendor	event.idm.read_only_udm.metadata.vendor_name	device_vendor에서 가져온 값
device_version	event.idm.read_only_udm.metadata.product_version	device_version에서 가져온 값
dhost	temp_dhost	dhost에서 가져온 값
dmac	event.idm.read_only_udm.target.mac	서식 지정 후 dmac에서 가져온 값
dmac	mac_address	서식 지정 후 dmac에서 가져온 값
dntdom	event.idm.read_only_udm.target.administrative_domain	dntdom에서 가져온 값
dpid	event.idm.read_only_udm.target.process.pid	dpid에서 가져온 값
dpriv	target_role	dpriv에서 가져온 값
dproc	event.idm.read_only_udm.target.process.command_line	dproc에서 가져온 값
dpt	event.idm.read_only_udm.target.port	dpt에서 정수로 변환됨
dst	event.idm.read_only_udm.target.asset.ip	dst에서 가져온 값
dst	event.idm.read_only_udm.target.ip	dst에서 가져온 값
dst_ip	target_ip	dst_ip에서 가져온 값
duid	temp_duid	duid에서 가져온 값
duser	event.idm.read_only_udm.metadata.event_type	duser가 비어 있지 않으면 USER_UNCATEGORIZED로 설정
duser	temp_duser	duser에서 가져온 값
dvchost	about.hostname	dvchost에서 가져온 값
dvcmac	about.mac	유효한 MAC인 경우 형식을 지정한 후 dvcmac에서 가져온 값
dvcmac	dvc_mac	서식 지정 후 dvcmac에서 가져온 값
dvcpid	about.process.pid	dvcpid에서 가져온 값
dvc	about.ip	dvc 배열에서 분할
eventId	additional_eventId	eventId에서 가져온 값
event_name	event.idm.read_only_udm.metadata.product_event_type	device_event_class_id와 결합되어 '[device_event_class_id] - event_name' 또는 event_name으로 표시됩니다.
event_name	event.idm.read_only_udm.metadata.event_type	LogSpyware 또는 LogPredictiveMachineLearning인 경우 SCAN_UNCATEGORIZED로 설정
eventid	eventId	eventid에서 가져온 값
externalId	event.idm.read_only_udm.metadata.product_log_id	externalId에서 가져온 값
fileHash	about.file.sha256	유효한 해시인 경우 fileHash에서 가져온 값
fileHash	about.file.full_path	유효한 해시가 아닌 경우 fileHash에서 가져온 값
filePath	about.file.full_path	filePath에서 가져온 값
filePermission	권한	filePermission에서 가져온 값
fileType	about.file.mime_type	fileType에서 가져온 값
flexString2	additional_flexString2	flexString2에서 가져온 값
flexString2Label	additional_flexString2	flexString2Label에서 가져온 값
fname	additional_fname	fname에서 가져온 값
fsize	about.file.size	fsize에서 uinteger로 변환됨
has_principal	metadata.event_type	has_principal이 true이고 has_target이 false인 경우 STATUS_UPDATE로 설정
has_principal	principal_present	true로 설정
has_target	metadata.event_type	has_principal이 false인 경우 GENERIC_EVENT로 설정
in	event.idm.read_only_udm.network.received_bytes	0보다 큰 경우 in에서 uinteger로 변환됨
infection_channel_label	security_result.detection_fields	키가 '감염 채널'로 설정되고 값이 Infection_Channel에서 가져옴
ipv6	target_machine_id_present	IPv6_Address가 '-'가 아닌 경우 true로 설정
mac	event.idm.read_only_udm.principal.mac	mac에서 가져온 값
mac_address	event.idm.read_only_udm.target.mac	mac_address에서 가져온 값
mac_address	about.mac	mac_address에서 가져온 값
메타데이터	event.idm.read_only_udm.metadata	메타데이터에서 이름이 변경됨
msg	event.idm.read_only_udm.metadata.description	따옴표를 삭제한 후 메시지에서 가져온 값
msg_data_2	security_result.description	비어 있지 않은 경우 msg_data_2에서 가져온 값
mwProfile	security_result.rule_name	mwProfile에서 가져온 값
oldFilePath	event.idm.read_only_udm.src.file.full_path	oldFilePath에서 가져온 값
oldFilePermission	old_permissions	oldFilePermission에서 가져온 값
oldFileSize	event.idm.read_only_udm.src.file.size	oldFileSize에서 uinteger로 변환됨
operasjon_label	security_result.detection_fields	값이 비어 있지 않은 경우 operasjon_label에서 병합됨
operation_label	security_result.detection_fields	값이 비어 있지 않은 경우 operation_label에서 병합됨
중	event.idm.read_only_udm.network.sent_bytes	0보다 큰 경우 out에서 uinteger로 변환됨
permission_label	security_result.detection_fields	값이 비어 있지 않은 경우 permission_label에서 병합됨
포트	event.idm.read_only_udm.principal.port	포트에서 정수로 변환됨
principal	event.idm.read_only_udm.principal	주 구성원에서 이름이 변경됨
proto	protocol_number_src	프로토에서 가져온 값
요청	event.idm.read_only_udm.target.url	요청에서 가져온 값
requestClientApplication	event.idm.read_only_udm.network.http.user_agent	requestClientApplication에서 가져온 값
requestMethod	event.idm.read_only_udm.network.http.method	requestMethod에서 가져온 값
resource_Type_label	event.idm.read_only_udm.target.resource.attribute.labels	유효한 경우 resource_Type_label에서 병합됨
rt	event.idm.read_only_udm.metadata.event_timestamp	rt에서 타임스탬프 형식으로 변환됨
security_result	event.idm.read_only_udm.security_result	security_result에서 병합됨
security_result_token	event.idm.read_only_udm.security_result	security_result_token에서 병합됨
줄이는 것을	security_result.severity	심각도에서 파생됨: 0~1 → 낮음, 2~3 → 중간, 4~5 → 높음, 6~9 → 매우 높음
shost	event.idm.read_only_udm.principal.hostname	IP인 경우 shost에서 가져온 값, 그렇지 않은 경우 호스트 이름
shost	event.idm.read_only_udm.principal.ip	IP인 경우 shost에서 가져온 값
shost_present	shost_present	true로 설정
smac	event.idm.read_only_udm.principal.mac	서식 지정 후 smac에서 가져온 값
smac	mac	서식 지정 후 smac에서 가져온 값
sntdom	event.idm.read_only_udm.principal.administrative_domain	sntdom에서 가져온 값
sourceDnsDomain	event.idm.read_only_udm.target.asset.hostname	sourceDnsDomain 호스트 이름에서 가져온 값
sourceDnsDomain	event.idm.read_only_udm.target.hostname	sourceDnsDomain 호스트 이름에서 가져온 값
sourceServiceName	event.idm.read_only_udm.principal.application	sourceServiceName에서 가져온 값
sourceTranslatedAddress	event.idm.read_only_udm.principal.nat_ip	sourceTranslatedAddress에서 가져온 값
sourceTranslatedPort	event.idm.read_only_udm.principal.nat_port	sourceTranslatedPort에서 정수로 변환됨
spid	event.idm.read_only_udm.principal.process.pid	spid에서 가져온 값
spriv	principal_role	spriv에서 가져온 값
sproc	event.idm.read_only_udm.principal.process.command_line	sproc에서 가져온 값
spt	event.idm.read_only_udm.principal.port	유효한 경우 spt에서 정수로 변환됨
src	event.idm.read_only_udm.principal.asset.ip	src에서 가져온 값
src	event.idm.read_only_udm.principal.ip	src에서 가져온 값
src	event.idm.read_only_udm.metadata.event_type	src가 비어 있지 않으면 STATUS_UPDATE로 설정
srcip	principal_ip	srcip에서 가져온 값
spyware_Grayware_Type_label	security_result.detection_fields	spyware_Grayware_Type_label에서 병합됨
suid	event.idm.read_only_udm.principal.user.userid	suid에서 가져온 값
suser	event.idm.read_only_udm.principal.user.user_display_name	{로 시작하지 않는 경우 suser에서 가져온 값
target	event.idm.read_only_udm.target	타겟에서 이름이 변경됨
target_hostname_present	target_hostname_present	true로 설정
target_machine_id_present	target_machine_id_present	true로 설정
target_present	target_present	true로 설정
temp_dhost	event.idm.read_only_udm.target.hostname	temp_dhost에서 가져온 값
temp_dhost	target_hostname_present	true로 설정
temp_dhost	target_machine_id_present	true로 설정
temp_duid	event.idm.read_only_udm.target.user.userid	그록 후 temp_duid에서 가져온 값
temp_duser	event.idm.read_only_udm.target.user.user_display_name	temp_duser에서 가져온 값
temp_duser	has_target_user	true로 설정
threat_probability_label	security_result.detection_fields	threat_probability_label에서 병합됨
tillatelse_label	security_result.detection_fields	tillatelse_label에서 병합됨
type_label	security_result_token.detection_fields	키가 'Type'으로 설정되고 값은 _metadata.source.type에서 가져옴
customer_label	security_result_token.detection_fields	키가 'Customer'로 설정되고 값이 _metadata.customer에서 가져옴
	event.idm.read_only_udm.metadata.vendor_name	'FIREEYE_EMPS'로 설정
	event.idm.read_only_udm.metadata.product_name	'FIREEYE_EMPS'로 설정

도움이 더 필요한가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.