이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Forcepoint Web Security 로그 수집

다음에서 지원:

Google secops SIEM

이 문서에서는 Bindplane을 사용하여 Forcepoint Web Security 로그를 Google Security Operations로 수집하는 방법을 설명합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

Google SecOps 인스턴스
Bindplane 에이전트용 systemd가 설치된 Windows 2016 이상 또는 Linux 호스트
프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
Forcepoint Web Security 관리 콘솔 또는 Forcepoint Security Manager에 대한 권한 있는 액세스
Forcepoint Web Security와 Bindplane 에이전트 호스트 간 네트워크 연결
Forcepoint Web Security 버전 7.8 이상 (CEF 형식 지원 권장)

Google SecOps 수집 인증 파일 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 수집 에이전트로 이동합니다.
수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.

Windows 설치

명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

다음 명령어를 실행합니다.

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 설치

루트 또는 sudo 권한으로 터미널을 엽니다.

다음 명령어를 실행합니다.

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

추가 설치 리소스

추가 설치 옵션은 이 설치 가이드를 참고하세요.

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

TCP 또는 UDP를 통해 syslog 메시지를 수신하도록 Bindplane 에이전트를 구성할 수 있습니다. 환경 및 네트워크 요구사항에 가장 적합한 프로토콜을 선택합니다.

프로토콜 선택

TCP (안정성을 위해 권장): 전송을 제공하며 대부분의 환경에 적합합니다. 신뢰할 수 있는 로그 전송이 중요하고 네트워크 문제로 인해 로그가 손실되지 않도록 하려면 TCP를 사용하세요.
UDP (성능에 권장): 지연 시간이 짧고 오버헤드가 적습니다. 높은 처리량이 필요하고 가끔 로그 손실이 허용되는 경우 UDP를 사용합니다.

Bindplane 에이전트 구성

구성 파일에 액세스합니다.
- config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
- 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

선택한 프로토콜의 구성으로 config.yaml 파일을 수정합니다.

옵션 A: TCP 구성 (권장)

receivers:
   tcplog:
      # Replace with your desired port and IP address
      listen_address: "0.0.0.0:514"
      # Add operators if specific parsing is needed
      operators: []

exporters:
chronicle/chronicle_w_labels:
   compression: gzip
   # Adjust the path to the credentials file you downloaded in Step 1
   creds_file_path: '/path/to/ingestion-authentication-file.json'
   # Replace with your actual customer ID from Step 2
   customer_id: <YOUR_CUSTOMER_ID>
   # Replace with the appropriate regional endpoint
   endpoint: <CUSTOMER_REGION_ENDPOINT>
   # Log type for Forcepoint Web Security
   log_type: 'FORCEPOINT_WEBPROXY'
   raw_log_field: body
   # You can optionally add other custom ingestion labels here if needed
   ingestion_labels:

service:
   pipelines:
      logs/forcepoint_tcp_to_chronicle:
         receivers:
            - tcplog
         exporters:
            - chronicle/chronicle_w_labels

옵션 B: UDP 구성

receivers:
   udplog:
      # Replace with your desired port and IP address
      listen_address: "0.0.0.0:514"
      # Add operators if specific parsing is needed
      operators: []

exporters:
   chronicle/chronicle_w_labels:
      compression: gzip
      # Adjust the path to the credentials file you downloaded in Step 1
      creds_file_path: '/path/to/ingestion-authentication-file.json'
      # Replace with your actual customer ID from Step 2
      customer_id: <YOUR_CUSTOMER_ID>
      # Replace with the appropriate regional endpoint
      endpoint: <CUSTOMER_REGION_ENDPOINT>
      # Log type for Forcepoint Web Security
      log_type: 'FORCEPOINT_WEBPROXY'
      raw_log_field: body
      # You can optionally add other custom ingestion labels here if needed
      ingestion_labels:

service:
   pipelines:
      logs/forcepoint_udp_to_chronicle:
         receivers:
            - udplog
         exporters:
            - chronicle/chronicle_w_labels

인프라에 필요한 포트와 IP 주소로 바꿉니다 (기본값은 0.0.0.0:514).

참고: 포트 514는 표준 syslog 포트입니다. 이 포트가 이미 사용 중이거나 제한된 경우 대체 포트 (예: 1514, 5514)를 선택하고 Forcepoint Web Security에서 동일한 포트를 구성합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
```
sudo systemctl restart bindplane-agent
```
Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
```
net stop BindPlaneAgent && net start BindPlaneAgent
```
Linux에서 에이전트가 실행 중인지 확인하려면 다음 명령어를 실행합니다.
```
sudo systemctl status observiq-otel-collector
```
Windows에서 에이전트가 실행 중인지 확인하려면 다음 명령어를 실행합니다.
```
sc query observiq-otel-collector
```

Forcepoint Web Security에서 Syslog 전달 구성

Forcepoint Web Security를 구성하여 로그를 CEF (Common Event Format) 형식으로 Bindplane 에이전트에 전달합니다.

Forcepoint Security Manager 사용

관리자 사용자 인증 정보로 Forcepoint Security Manager에 로그인합니다.
설정 > 로깅으로 이동합니다.
왼쪽 탐색에서 로그 서버를 선택합니다.
추가를 클릭하여 새 로그 서버 구성을 만듭니다.
다음 구성 세부정보를 제공합니다.
- 서버 유형: 시스템로그 서버 또는 CEF 서버를 선택합니다.
- 이름: 설명이 포함된 이름을 입력합니다 (예: Google Security Operations Bindplane CEF).
- 호스트: Bindplane 에이전트 IP 주소 또는 호스트 이름을 입력합니다.
- 포트: Bindplane 에이전트 포트 번호를 입력합니다 (예: 514).
- 프로토콜: Bindplane 구성과 일치하는 프로토콜을 선택합니다.
  - Bindplane에서 tcplog 수신기를 구성한 경우 TCP를 선택합니다 (권장됨).
  - Bindplane에서 udplog 수신기를 구성한 경우 UDP를 선택합니다.
- 형식: CEF (Common Event Format)를 선택합니다.
- 시설: Local0 (또는 사용 가능한 다른 시설)을 선택합니다.
- 심각도: 정보를 선택합니다 (모든 로그 수준을 캡처).
로그 카테고리 또는 이벤트 유형에서 전달할 이벤트를 선택합니다.
- ☑ 웹 액세스 로그 (트랜잭션 로그)
- ☑ 보안 관련 활동 (위협 감지)
- ☑ 인증 이벤트 (사용자 로그인/로그아웃)
- ☑ 시스템 이벤트 (시스템 및 구성 변경사항)
- 또는 모든 이벤트를 선택하여 사용 가능한 모든 로그 유형을 전달합니다.
선택사항: 추가 설정을 구성합니다.
- 배치 크기: 실시간 전달의 경우 1로 설정하고 일괄 처리의 경우 더 높게 설정합니다.
- 메시지 형식: CEF 형식이 선택되어 있는지 확인합니다.
- 사용자 정보 포함: 로그에 사용자 ID를 포함하려면 사용 설정합니다.
연결 테스트를 클릭하여 Bindplane 에이전트와의 연결을 확인합니다.
- Bindplane 에이전트 로그에 테스트 메시지가 표시됩니다.
- 테스트가 실패하면 네트워크 연결 및 방화벽 규칙을 확인합니다.
저장을 클릭하여 구성을 적용합니다.
배포를 클릭하여 모든 Forcepoint Web Security 게이트웨이에 구성을 푸시합니다.

Forcepoint Web Security 어플라이언스 사용 (직접 구성)

어플라이언스에서 직접 구성하는 경우 다음 단계를 따르세요.

Forcepoint Web Security Appliance 관리 인터페이스에 로그인합니다.
시스템 > 로그 서버로 이동합니다.
추가 또는 수정을 클릭하여 로그 서버를 만들거나 수정합니다.
다음 구성 세부정보를 제공합니다.
- 서버 주소: Bindplane 에이전트 IP 주소를 입력합니다.
- 포트: 514 (또는 맞춤 포트)을 입력합니다.
- 프로토콜: Bindplane 구성과 일치하도록 TCP 또는 UDP를 선택합니다.
- 형식: CEF 또는 Common Event Format을 선택합니다.
- Facility: Local0을 선택합니다.
로그 유형에서 전달할 로그를 선택합니다.
- ☑ 액세스 로그
- ☑ 보안 로그
- ☑ 관리자 로그
적용 또는 저장을 클릭합니다.
여러 기기를 사용하는 경우 각 기기에서 이 구성을 반복합니다.

CEF 형식 확인

Forcepoint Web Security는 다음 구조의 CEF 형식으로 로그를 전송합니다.

CEF:0|Forcepoint|Web Security|<version>|<event_id>|<event_name>|<severity>|<extensions>

CEF 로그 예:

 CEF:0|Forcepoint|Web Security|8.5|100|Web Request|5|src=192.168.1.100 dst=93.184.216.34 spt=54321 dpt=80 requestMethod=GET request=http://example.com/ cs1=Allow cs1Label=Action cs2=News and Media cs2Label=Category suser=john.doe@company.com
 ```

Google SecOps 파서는 CEF 형식을 예상하며 다음 주요 필드를 추출합니다.

src - 소스 IP 주소
dst - 대상 IP 주소
spt - 소스 포트
dpt - 대상 포트
requestMethod - HTTP 메서드
request 또는 url - 요청된 URL
cs1 - 작업 (허용/차단)
cs2 - URL 카테고리
suser - 사용자 이름

로그가 수집되고 있는지 확인

구성 후 로그가 Forcepoint Web Security에서 Google SecOps로 전송되는지 확인합니다.

Forcepoint 콘솔에서 로그가 전송되고 있는지 확인합니다.
- 설정 > 로깅 > 로그 서버로 이동합니다.
- 구성된 서버의 상태 열을 확인합니다. 활성 또는 연결됨으로 표시되어야 합니다.
- 통계를 확인하여 전송된 로그 수를 확인합니다.
Bindplane 에이전트 호스트에서 에이전트 로그를 확인하여 수신되는 syslog 메시지를 확인합니다.
- Linux:
```
 sudo journalctl -u observiq-otel-collector -f
```
  - CEF 형식 메시지가 포함된 로그 항목을 찾습니다.
```
   CEF:0|Forcepoint|Web Security|...
```
- Windows:
  1. 애플리케이션 및 서비스 로그 > observIQ에서 Windows 이벤트 뷰어를 선택합니다.
  2. Google SecOps에서 로그가 표시되는지 확인합니다.
    - 검색 > UDM 검색으로 이동합니다.
    - 다음 쿼리를 사용하세요.
```
metadata.vendor_name = "Forcepoint" AND metadata.product_name = "Forcepoint Webproxy"
```
    - 기간을 최근 시간 (예: 지난 1시간)으로 조정합니다.
    - 결과에 이벤트가 표시되는지 확인합니다.
  3. 특정 필드가 올바르게 파싱되는지 확인합니다.
```
metadata.vendor_name = "Forcepoint" AND principal.ip != "" AND target.url != ""
```
  4. SIEM 설정 > 수집 에이전트로 이동하여 수집 통계를 확인합니다.
    - 수신된 이벤트 수를 선택합니다.
    - 마지막 성공일 타임스탬프가 최근인지 확인합니다.

문제 해결

Google SecOps에 로그가 표시되지 않음

증상: Bindplane 에이전트가 실행 중이지만 Google SecOps에 로그가 표시되지 않습니다.

가능한 원인:

Forcepoint와 Bindplane 에이전트 간의 네트워크 연결 문제
syslog 포트를 차단하는 방화벽
프로토콜 불일치 (Bindplane에 TCP가 구성되어 있지만 Forcepoint에 UDP가 구성되어 있음 또는 그 반대).
Forcepoint 구성의 Bindplane 에이전트 IP 주소 또는 포트가 잘못되었습니다.
Bindplane에 잘못된 리전 엔드포인트가 구성되어 있습니다.
Forcepoint에서 CEF 형식이 사용 설정되지 않았습니다.

해결책:

네트워크 연결 확인:

# From Forcepoint gateway, test connectivity to BindPlane host
telnet <BINDPLANE_IP> 514
# Or for UDP
nc -u <BINDPLANE_IP> 514

Bindplane 호스트에서 방화벽 규칙을 확인합니다.

# Linux - Allow port 514 TCP
sudo ufw allow 514/tcp
# Or for UDP
sudo ufw allow 514/udp

# Verify firewall status
sudo ufw status

프로토콜 일치 여부를 확인합니다.
- Bindplane config.yaml에서 tcplog 또는 udplog를 확인합니다.
- 일치하는 프로토콜이 있는지 Forcepoint 로그 서버 구성을 확인합니다.
CEF 형식이 사용 설정되어 있는지 확인합니다.
- Forcepoint Security Manager에서 Settings > Logging > Log Servers로 이동합니다.
- 형식이 CEF 또는 Common Event Format으로 설정되어 있는지 확인합니다.
리전 엔드포인트를 확인합니다.
- config.yaml의 endpoint이 Google SecOps 인스턴스 리전과 일치하는지 확인합니다.
- 리전 엔드포인트 문서를 참고하세요.
Bindplane 에이전트 로그에서 오류를 확인합니다.
```
sudo journalctl -u observiq-otel-collector -n 100 --no-pager
```
다음과 같은 오류 메시지를 찾습니다.
- connection refused - 네트워크/방화벽 문제
- authentication failed - 사용자 인증 정보 문제
- invalid endpoint - 리전 엔드포인트 문제

프로토콜 불일치 오류

증상: 로그가 수신되지 않음, Forcepoint 테스트의 연결 오류 또는 Bindplane 로그의 Connection refused 오류

해결책:

Bindplane에 구성된 프로토콜 (tcplog 또는 udplog)이 Forcepoint에 구성된 프로토콜 (TCP 또는 UDP)과 일치하는지 확인합니다.
TCP를 사용하고 연결 문제가 발생하는 경우 Bindplane 에이전트가 수신 대기 중인지 확인하세요.
```
# Linux - Check if port is listening
sudo netstat -tuln | grep 514
# Or
sudo ss -tuln | grep 514
```
포트가 수신 대기하지 않으면 Bindplane 에이전트를 다시 시작합니다.

인증 오류

증상: Bindplane 에이전트 로그에 Google SecOps에 대한 인증 오류가 표시됩니다.

가능한 원인:

잘못된 고객 ID입니다.
잘못되었거나 만료된 인제스트 인증 파일입니다.
수집 인증 파일의 경로가 잘못되었습니다.
잘못된 리전 엔드포인트입니다.

해결책:

config.yaml의 고객 ID가 SIEM 설정 > 프로필의 ID와 일치하는지 확인합니다.
SIEM 설정 > 수집 에이전트에서 수집 인증 파일을 다시 다운로드합니다.
config.yaml의 경로가 올바른 위치를 가리키는지 확인합니다.
리전 엔드포인트가 Google SecOps 인스턴스 리전과 일치하는지 확인합니다.

Bindplane 에이전트가 인증 파일에 대한 읽기 권한을 가지고 있는지 확인합니다.

sudo chmod 644 /path/to/ingestion-authentication-file.json
sudo chown root:root /path/to/ingestion-authentication-file.json

로그가 표시되지만 필드가 파싱되지 않음

증상: 로그가 Google SecOps에 표시되지만 principal.ip, target.url과 같은 필드가 비어 있습니다.

가능한 원인:

로그가 CEF 형식이 아닙니다.
CEF 형식이 잘못되었거나 표준이 아닙니다.
Bindplane 구성의 로그 유형이 일치하지 않습니다.

해결책:

원시 로그에서 CEF 형식을 확인합니다.
- Google SecOps에서 검색 > 원시 로그 검색으로 이동합니다.
- 최근 Forcepoint 로그를 검색합니다.
- 로그가 CEF:0|Forcepoint|Web Security|로 시작하는지 확인합니다.
로그가 CEF 형식이 아닌 경우:
- Forcepoint에서 형식을 CEF 또는 Common Event Format으로 변경합니다.
- 구성을 다시 배포합니다.
Bindplane config.yaml에서 로그 유형을 확인합니다.
- log_type: 'FORCEPOINT_PROXY'이 올바르게 설정되었는지 확인합니다.
CEF 필드 이름 변형 확인:
- 일부 Forcepoint 버전에서는 다른 CEF 필드 이름을 사용할 수 있습니다.
- 필드 이름이 UDM 매핑 테이블의 예상 CEF 확장 프로그램과 일치하는지 확인합니다.

긴 지연 시간 또는 로그 지연

증상: 로그가 Google SecOps에 상당한 지연 (5분 이상)과 함께 표시됩니다.

가능한 원인:

Forcepoint와 Bindplane 에이전트 간의 네트워크 지연 시간
Bindplane 에이전트 리소스 제약 조건 (CPU/메모리)
Forcepoint에서 일괄 처리가 사용 설정됨
Google SecOps 수집 백로그입니다.

해결책:

네트워크 지연 시간 확인:

ping <BINDPLANE_IP>
# Check for high latency (>50ms) or packet loss

Bindplane 에이전트 리소스 사용량을 확인합니다.

top
# Look for observiq-otel-collector process
# Verify CPU < 80% and memory is available

Forcepoint에서 일괄 설정을 조정합니다.
- 설정 > 로깅 > 로그 서버로 이동합니다.
- 실시간 전달을 위해 배치 크기를 1로 설정합니다.
- 또는 더 자주 전송하기 위해 일괄 처리 간격을 줄입니다.
리소스가 제한된 경우 Bindplane 에이전트 호스트를 확장 (CPU/메모리 추가)하는 것이 좋습니다.
UDP를 사용하는 경우 네트워크 인프라가 패킷 손실 없이 필요한 처리량을 지원하는지 확인합니다.

Forcepoint 테스트 연결 실패

증상: Forcepoint에서 연결 테스트를 클릭하면 테스트가 실패합니다.

해결책:

Bindplane 에이전트가 실행 중인지 확인합니다.
```
sudo systemctl status observiq-otel-collector
```
Bindplane 에이전트가 구성된 포트에서 리슨하는지 확인합니다.
```
sudo netstat -tuln | grep 514
```

테스트를 위해 방화벽을 일시적으로 사용 중지합니다.

# Linux
sudo ufw disable
# Test connection from Forcepoint
# Then re-enable
sudo ufw enable

테스트 중에 Bindplane 에이전트 로그를 확인합니다.
```
sudo journalctl -u observiq-otel-collector -f
```
- 수신 연결 시도가 표시됩니다.
그래도 테스트가 실패하면 Forcepoint 구성에서 IP 주소와 포트가 올바른지 확인합니다.

UDM 매핑 테이블

로그 필드	UDM 매핑	논리
`action`	`security_result.summary`	`action_msg`가 비어 있지 않으면 `security_result.summary`에 매핑됩니다. 그렇지 않고 `action`이 비어 있지 않으면 `security_result.summary`에 매핑됩니다. 그렇지 않고 `act`이 비어 있지 않으면 `security_result.summary`에 매핑됩니다.
`action_msg`	`security_result.summary`	`action_msg`가 비어 있지 않으면 `security_result.summary`에 매핑됩니다. 그렇지 않고 `action`이 비어 있지 않으면 `security_result.summary`에 매핑됩니다. 그렇지 않고 `act`이 비어 있지 않으면 `security_result.summary`에 매핑됩니다.
`app`	`target.application`	`destinationServiceName`가 비어 있지 않으면 `app_name`에 매핑됩니다. 그렇지 않고 `app`가 비어 있지 않고 http 또는 HTTP를 포함하지 않으면 `app_name`에 매핑됩니다. 마지막으로 `app_name`이 `target.application`에 매핑됩니다.
`bytes_in`	`network.received_bytes`	`in`가 비어 있지 않으면 `bytes_in`에 매핑됩니다. 마지막으로 `bytes_in`이 `network.received_bytes`에 매핑됩니다.
`bytes_out`	`network.sent_bytes`	`out`가 비어 있지 않으면 `bytes_out`에 매핑됩니다. 마지막으로 `bytes_out`이 `network.sent_bytes`에 매핑됩니다.
`cat`	`security_result.category_details`	`cat`가 비어 있지 않으면 `category`에 매핑됩니다. 마지막으로 `category`이 `security_result.category_details`에 매핑됩니다.
`category_no`	`security_result.detection_fields.value`	`category_no`이 비어 있지 않으면 키 `Category Number`로 `security_result.detection_fields.value`에 매핑됩니다.
`cn1`	`security_result.detection_fields.value`	`cn1`이 비어 있지 않으면 키 `Disposition Number`로 `security_result.detection_fields.value`에 매핑됩니다.
`ContentType`	`target.file.mime_type`	`contentType`가 비어 있지 않으면 `ContentType`에 매핑됩니다. 마지막으로 `ContentType`이 `target.file.mime_type`에 매핑됩니다.
`cs1`	`target_role.description`	`cs1`가 `target_role.description`에 매핑됩니다.
`cs2`	`security_result.category_details`	`cs2`이 비어 있지 않고 `0`이 아닌 경우 `Dynamic Category:` 프리픽스와 함께 `security_result.category_details`에 매핑됩니다.
`cs3`	`target.file.mime_type`	`cs3`가 `target.file.mime_type`에 매핑됩니다.
`description`	`metadata.description`	`description`가 비어 있지 않으면 `metadata.description`에 매핑됩니다.
`destinationServiceName`	`target.application`	`destinationServiceName`가 비어 있지 않으면 `app_name`에 매핑됩니다. 마지막으로 `app_name`이 `target.application`에 매핑됩니다.
`deviceFacility`	`metadata.product_event_type`	`product_event` 및 `deviceFacility`가 비어 있지 않으면 `-`와 연결되고 `metadata.product_event_type`에 매핑됩니다. 그렇지 않으면 `product_event`이 `metadata.product_event_type`에 매핑됩니다.
`disposition`	`security_result.detection_fields.value`	`disposition`이 비어 있지 않으면 키 `Disposition Number`로 `security_result.detection_fields.value`에 매핑됩니다.
`dst`	`target.ip`	`dst`이 비어 있지 않고 `dvchost`이 비어 있으면 `dst_ip`에 매핑됩니다. 마지막으로 `dst_ip`이 `target.ip`에 매핑됩니다.
`dst_host`	`target.hostname`	`dst`이 비어 있지 않고 `dvchost`이 비어 있으면 `dst_host`에 매핑됩니다. 마지막으로 `dst_host`이 `target.hostname`에 매핑됩니다.
`dst_ip`	`target.ip`	`dst`이 비어 있지 않고 `dvchost`이 비어 있으면 `dst_ip`에 매핑됩니다. 마지막으로 `dst_ip`이 `target.ip`에 매핑됩니다.
`dst_port`	`target.port`	`dst`이 비어 있지 않고 `dvchost`이 비어 있으면 `dst_port`에 매핑됩니다. 마지막으로 `dst_port`이 `target.port`에 매핑됩니다.
`duration`	`network.session_duration.seconds`	`duration`이 비어 있지 않고 `0`이 아니면 `network.session_duration.seconds`에 매핑됩니다.
`dvchost`	`intermediary.ip`	`dvchost`가 비어 있지 않으면 `int_ip`에 매핑됩니다. 마지막으로 `int_ip`가 유효한 IP 주소인 경우 `intermediary.ip`에 매핑되고, 그렇지 않은 경우 `intermediary.hostname`에 매핑됩니다.
`file_path`	`target.file.full_path`	`file_path`가 비어 있지 않으면 `target.file.full_path`에 매핑됩니다.
`host`	`principal.ip`	`host`가 비어 있지 않으면 `src`에 매핑됩니다. 마지막으로 `src`이 `principal.ip`에 매핑됩니다.
`http_method`	`network.http.method`	`requestMethod`가 비어 있지 않으면 `http_method`에 매핑됩니다. 그렇지 않고 `method`이 비어 있지 않으면 `http_method`에 매핑됩니다. 마지막으로 `http_method`이 `network.http.method`에 매핑됩니다.
`http_proxy_status_code`	`network.http.response_code`	`http_response`이 비어 있거나 `0` 또는 `-`이고 `http_proxy_status_code`가 비어 있지 않으면 `network.http.response_code`에 매핑됩니다.
`http_response`	`network.http.response_code`	`http_response`이 비어 있지 않고 `0`도 아니고 `-`도 아닌 경우 `network.http.response_code`에 매핑됩니다.
`http_user_agent`	`network.http.user_agent`	`http_user_agent`이 비어 있지 않고 `-`이 아닌 경우 `network.http.user_agent`에 매핑됩니다.
`in`	`network.received_bytes`	`in`가 비어 있지 않으면 `bytes_in`에 매핑됩니다. 마지막으로 `bytes_in`이 `network.received_bytes`에 매핑됩니다.
`int_host`	`intermediary.hostname`	`int_ip`가 비어 있지 않고 `int_host`이 비어 있지 않으며 `int_ip`와 다른 경우 `intermediary.hostname`에 매핑됩니다.
`int_ip`	`intermediary.ip`	`dvchost`가 비어 있지 않으면 `int_ip`에 매핑됩니다. 마지막으로 `int_ip`가 유효한 IP 주소인 경우 `intermediary.ip`에 매핑되고, 그렇지 않은 경우 `intermediary.hostname`에 매핑됩니다.
`level`	`target_role.name`	`level`이 비어 있지 않고 `role`이 비어 있으면 `role`에 매핑됩니다. 마지막으로 `role`이 `target_role.name`에 매핑됩니다.
`log_level`	`security_result.severity`	`severity`이 `1`이거나 `log_level`에 `info`이 포함되거나 `message`에 `notice`이 포함되면 `security_result.severity`이 `INFORMATIONAL`로 설정됩니다. `severity`이 `7`이면 `security_result.severity`이 `HIGH`로 설정됩니다.
`loginID`	`principal.user.userid`	`loginID`가 비어 있지 않으면 `user`에 매핑됩니다. 마지막으로 `user`가 비어 있지 않고 `-`이 아니며 `LDAP`를 포함하지 않으면 `principal.user.userid`에 매핑됩니다.
`method`	`network.http.method`	`requestMethod`가 비어 있지 않으면 `http_method`에 매핑됩니다. 그렇지 않고 `method`이 비어 있지 않으면 `http_method`에 매핑됩니다. 마지막으로 `http_method`이 `network.http.method`에 매핑됩니다.
`NatRuleId`	`security_result.detection_fields.value`	`NatRuleId`이 비어 있지 않으면 키 `NatRuleId`로 `security_result.detection_fields.value`에 매핑됩니다.
`out`	`network.sent_bytes`	`out`가 비어 있지 않으면 `bytes_out`에 매핑됩니다. 마지막으로 `bytes_out`이 `network.sent_bytes`에 매핑됩니다.
`pid`	`target.process.pid`	`pid`가 비어 있지 않으면 `target.process.pid`에 매핑됩니다.
`policy`	`target_role.description`	`Policy`가 비어 있지 않으면 `policy`에 매핑됩니다. `policy`이 비어 있지 않고 `-`이 아니면 `target_role.description`에 매핑됩니다.
`Policy`	`target_role.description`	`Policy`가 비어 있지 않으면 `policy`에 매핑됩니다. `policy`이 비어 있지 않고 `-`이 아니면 `target_role.description`에 매핑됩니다.
`product_event`	`metadata.product_event_type`	`product`가 비어 있지 않으면 `product_event`에 매핑됩니다. `product_event` 및 `deviceFacility`가 비어 있지 않으면 `-`와 연결되고 `metadata.product_event_type`에 매핑됩니다. 그렇지 않으면 `product_event`이 `metadata.product_event_type`에 매핑됩니다.
`proxyStatus-code`	`network.http.response_code`	`http_response`이 비어 있거나 `0` 또는 `-`이고 `http_proxy_status_code`이 비어 있으며 `proxyStatus-code`이 비어 있지 않으면 `network.http.response_code`에 매핑됩니다.
`refererUrl`	`network.http.referral_url`	`refererUrl`이 비어 있지 않고 `-`이 아니면 `network.http.referral_url`에 매핑됩니다.
`requestClientApplication`	`network.http.user_agent`	`requestMethod`가 비어 있지 않으면 `http_user_agent`에 매핑됩니다. 마지막으로 `http_user_agent`이 `network.http.user_agent`에 매핑됩니다.
`requestMethod`	`network.http.method`	`requestMethod`가 비어 있지 않으면 `http_method`에 매핑됩니다. 마지막으로 `http_method`이 `network.http.method`에 매핑됩니다.
`role`	`target_role.name`	`level`이 비어 있지 않고 `role`이 비어 있으면 `role`에 매핑됩니다. 마지막으로 `role`이 `target_role.name`에 매핑됩니다.
`RuleID`	`security_result.rule_id`	`RuleID`가 비어 있지 않으면 `security_result.rule_id`에 매핑됩니다.
`serverStatus-code`	`network.http.response_code`	`http_response`이 비어 있거나 `0` 또는 `-`이고 `http_proxy_status_code`이 비어 있으며 `proxyStatus-code`이 비어 있지 않으면 `network.http.response_code`에 매핑됩니다.
`severity`	`security_result.severity`	`severity`이 `1`이거나 `log_level`에 `info`이 포함되거나 `message`에 `notice`이 포함되면 `security_result.severity`이 `INFORMATIONAL`로 설정됩니다. `severity`이 `7`이면 `security_result.severity`이 `HIGH`로 설정됩니다.
`spt`	`principal.port`	`spt`가 비어 있지 않으면 `src_port`에 매핑됩니다. 마지막으로 `src_port`이 `principal.port`에 매핑됩니다.
`src`	`principal.ip`	`src_host`가 비어 있지 않으면 `source_ip_temp`에 매핑됩니다. `source_ip_temp`가 유효한 IP 주소이고 `src`가 비어 있으면 `src`에 매핑됩니다. `host`가 비어 있지 않으면 `src`에 매핑됩니다. 마지막으로 `src`이 `principal.ip`에 매핑됩니다.
`src_host`	`principal.hostname`	`src_host`가 비어 있지 않으면 `source_ip_temp`에 매핑됩니다. `source_ip_temp`이 유효한 IP 주소가 아닌 경우 `principal.hostname`에 매핑됩니다. `source_ip_temp`가 유효한 IP 주소이고 `src`가 비어 있으면 `src`에 매핑됩니다. 마지막으로 `src`이 `principal.ip`에 매핑됩니다.
`src_port`	`principal.port`	`src_port`가 비어 있지 않으면 `principal.port`에 매핑됩니다.
`suser`	`principal.user.userid`	`loginID`가 비어 있지 않으면 `user`에 매핑됩니다. `suser`가 비어 있지 않으면 `user`에 매핑됩니다. 마지막으로 `user`가 비어 있지 않고 `-`이 아니며 `LDAP`를 포함하지 않으면 `principal.user.userid`에 매핑됩니다.
`url`	`target.url`	`url`가 비어 있지 않으면 `target.url`에 매핑됩니다.
`user`	`principal.user.userid`	`loginID`가 비어 있지 않으면 `user`에 매핑됩니다. `suser`가 비어 있지 않으면 `user`에 매핑됩니다. 그렇지 않고 `usrName`이 비어 있지 않으면 `user`에 매핑됩니다. 마지막으로 `user`가 비어 있지 않고 `-`이 아니며 `LDAP`를 포함하지 않으면 `principal.user.userid`에 매핑됩니다.
`usrName`	`principal.user.userid`	`loginID`가 비어 있지 않으면 `user`에 매핑됩니다. `suser`가 비어 있지 않으면 `user`에 매핑됩니다. 그렇지 않고 `usrName`이 비어 있지 않으면 `user`에 매핑됩니다. 마지막으로 `user`가 비어 있지 않고 `-`이 아니며 `LDAP`를 포함하지 않으면 `principal.user.userid`에 매핑됩니다.
`when`	`metadata.event_timestamp`	`when`이 비어 있지 않으면 파싱되어 `metadata.event_timestamp`에 매핑됩니다.
해당 사항 없음	`metadata.log_type`	`FORCEPOINT_WEBPROXY` 값이 `metadata.log_type`에 하드코딩됩니다.
해당 사항 없음	`metadata.product_name`	`Forcepoint Webproxy` 값이 `metadata.product_name`에 하드코딩됩니다.
해당 사항 없음	`metadata.vendor_name`	`Forcepoint` 값이 `metadata.vendor_name`에 하드코딩됩니다.
해당 사항 없음	`network.application_protocol`	`dst_port`이 `80`이면 `network.application_protocol`이 `HTTP`로 설정됩니다. `dst_port`이 `443`이면 `network.application_protocol`이 `HTTPS`로 설정됩니다.
해당 사항 없음	`principal.user.group_identifiers`	`user`이 비어 있지 않고 `-`이 아니며 `LDAP`을 포함하는 경우 사용자 문자열의 OU 부분이 추출되어 `principal.user.group_identifiers`에 매핑됩니다.
해당 사항 없음	`principal.user.user_display_name`	`user`이 비어 있지 않고 `-`이 아니며 `LDAP`을 포함하는 경우 사용자 문자열의 사용자 이름 부분이 추출되어 `principal.user.user_display_name`에 매핑됩니다.
해당 사항 없음	`security_result.action`	`action_msg`, `action` 또는 `act`가 비어 있지 않으면 값에 따라 `sec_action`가 `ALLOW` 또는 `BLOCK`로 설정됩니다. 마지막으로 `sec_action`이 `security_result.action`에 매핑됩니다.
해당 사항 없음	`security_result.detection_fields.key`	`disposition` 또는 `cn1`를 매핑할 때 `Disposition Number` 값이 `security_result.detection_fields.key`에 하드코딩됩니다. `NatRuleId`을 매핑할 때 `NatRuleId` 값이 `security_result.detection_fields.key`에 하드 코딩됩니다. `category_no`를 매핑할 때 `Category Number` 값이 `security_result.detection_fields.key`에 하드 코딩됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.