Netwrix Auditor 로그 수집

다음에서 지원:

이 문서에서는 Google Cloud Storage V2를 사용하여 Netwrix Auditor 로그를 Google Security Operations로 수집하는 방법을 설명합니다.

Netwrix Auditor는 하이브리드 IT 환경에서 변경사항, 구성, 액세스를 제어할 수 있는 사용자 행동 분석 및 위험 완화 가시성 플랫폼입니다. 이 플랫폼은 데이터 유출이 발생하기 전에 사용자 행동의 이상 징후를 감지하고 위협 패턴을 조사하는 보안 분석을 제공합니다. RESTful 통합 API를 통해 플랫폼은 모든 온프레미스 또는 클라우드 기반 IT 시스템에 대한 가시성과 제어 기능을 통합된 방식으로 제공합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스
  • Cloud Storage, Cloud Run, Pub/Sub, Cloud Scheduler API가 사용 설정된 GCP 프로젝트
  • GCS 버킷을 만들고 관리할 수 있는 권한
  • GCS 버킷의 IAM 정책을 관리할 수 있는 권한
  • Cloud Run 서비스, Pub/Sub 주제, Cloud Scheduler 작업을 만들 수 있는 권한
  • Netwrix Auditor Server에 대한 관리 액세스
  • API 액세스에 적절한 권한이 있는 Windows 도메인 계정
  • 통합 API가 사용 설정된 Netwrix Auditor Server (기본적으로 사용 설정됨)
  • Netwrix Auditor에서 구성된 감사 데이터베이스
  • Cloud Run 함수에서 포트 9699 (기본값)의 Netwrix Auditor Server로의 네트워크 연결

Netwrix Auditor API 액세스 구성

Cloud Run 함수가 활동 기록을 가져오도록 하려면 통합 API가 사용 설정되어 있는지 확인하고 Netwrix Auditor에서 적절한 역할이 있는 Windows 도메인 계정을 만들어야 합니다.

통합 API가 사용 설정되어 있는지 확인

  1. Netwrix Auditor Server가 설치된 컴퓨터에서 Netwrix Auditor를 실행합니다.
  2. 설정 > 통합으로 이동합니다.
  3. 통합 API 활용 옵션이 사용 설정되어 있는지 확인합니다.
  4. 포트 번호 (기본값은 9699)를 확인합니다.

  5. 포트를 변경해야 하는 경우 다음 단계를 따르세요.

    1. API 설정 섹션에서 수정을 클릭합니다.
    2. 새 포트 번호를 지정합니다.
    3. 확인을 클릭합니다.

API 액세스용 서비스 계정 만들기

  1. Windows 도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터를 엽니다.
  2. 서비스 계정을 만들 조직 단위로 이동합니다.
  3. 조직 단위 > 새로 만들기 > 사용자를 마우스 오른쪽 버튼으로 클릭합니다.
  4. 이름 필드에 Chronicle Integration를 입력합니다.
  5. 사용자 로그온 이름 필드에 chronicle-api (또는 원하는 사용자 이름)을 입력합니다.
  6. 다음을 클릭합니다.
  7. 안전한 비밀번호를 입력하고 조직의 정책에 따라 비밀번호 설정을 구성합니다.
  8. 다음 로그인할 때 반드시 비밀번호 변경 체크박스를 선택 해제합니다.
  9. 비밀번호 만료일 없음을 선택합니다 (서비스 계정에 권장됨).
  10. 다음 > 마침을 클릭합니다.

전역 검토자 역할 할당

  1. Netwrix Auditor 기본 창에서 Monitoring Plans로 이동합니다.
  2. 모니터링 계획 트리에서 모든 모니터링 계획 (루트 폴더)을 선택합니다.
  3. 위임을 클릭합니다.
  4. 위임 대화상자에서 사용자 추가를 클릭합니다.
  5. 사용자 또는 그룹 선택 대화상자에서 다음을 수행합니다.
    1. 탐색을 클릭합니다.
    2. Enter the object name to select(선택할 객체 이름 입력) 필드에 사용자 이름 chronicle-api를 입력합니다.
    3. 이름 확인을 클릭하여 계정을 확인합니다.
    4. 확인을 클릭합니다.
  6. 역할 드롭다운에서 전역 검토자를 선택합니다.
  7. 확인을 클릭합니다.

  8. 저장을 클릭합니다.

API 사용자 인증 정보 기록

Cloud Run 함수 환경 변수를 구성하기 위해 다음 정보를 기록합니다.

  • 사용자 이름: 도메인 계정 (DOMAIN\username 형식, 예: ENTERPRISE\chronicle-api)
  • 비밀번호: 서비스 계정의 비밀번호
  • 호스트 이름: Netwrix Auditor 서버의 정규화된 도메인 이름 (FQDN) 또는 IP 주소 (예: auditor.enterprise.local 또는 172.28.6.15)

  • 포트: 통합 API 포트 (기본값은 9699)

권한 확인

계정에 필요한 권한이 있는지 확인하려면 다음 단계를 따르세요.

  1. Netwrix Auditor에서 Monitoring Plans로 이동합니다.
  2. 모든 모니터링 요금제를 선택합니다.
  3. 위임을 클릭합니다.
  4. chronicle-api 계정이 전역 검토자 역할과 함께 표시되는지 확인합니다.
  5. 계정이 표시되지 않으면 위의 전역 검토자 역할 할당 단계를 따르세요.

API 액세스 테스트

  • 통합을 진행하기 전에 사용자 인증 정보를 테스트하세요.

    # Replace with your actual values
NETWRIX_HOST="auditor.enterprise.local"
NETWRIX_PORT="9699"
NETWRIX_USER="ENTERPRISE\\chronicle-api"
NETWRIX_PASS="your-password"

# Test API access (retrieve first batch of activity records)
curl -k --ntlm -u "${NETWRIX_USER}:${NETWRIX_PASS}" \
    "https://${NETWRIX_HOST}:${NETWRIX_PORT}/netwrix/api/v1/activity_records/enum" \
    -H "Content-Type: application/json" \
    -H "Accept: application/json"

성공적인 응답은 활동 기록 배열과 페이지로 나누기를 위한 ContinuationMark가 포함된 JSON 객체를 반환합니다.

Google Cloud Storage 버킷 만들기

  1. Google Cloud Console로 이동합니다.
  2. 프로젝트를 선택하거나 새 프로젝트를 만듭니다.
  3. 탐색 메뉴에서 Cloud Storage> 버킷으로 이동합니다.
  4. 버킷 만들기를 클릭합니다.

  5. 다음 구성 세부정보를 제공합니다.

    설정
    버킷 이름 지정 전역적으로 고유한 이름 (예: netwrix-auditor-logs)을 입력합니다.
    위치 유형 필요에 따라 선택 (리전, 이중 리전, 멀티 리전)
    위치 위치를 선택합니다 (예: us-central1).
    스토리지 클래스 Standard (자주 액세스하는 로그에 권장)
    액세스 제어 균일 (권장)
    보호 도구 선택사항: 객체 버전 관리 또는 보관 정책 사용 설정

  6. 만들기를 클릭합니다.

Cloud Run 함수의 서비스 계정 만들기

  1. GCP 콘솔에서 IAM 및 관리자 > 서비스 계정으로 이동합니다.
  2. 서비스 계정 만들기를 클릭합니다.
  3. 다음 구성 세부정보를 제공합니다.
    • 서비스 계정 이름: netwrix-audit-collector-sa을 입력합니다.
    • 서비스 계정 설명: Service account for Cloud Run function to collect Netwrix Auditor logs를 입력합니다.
  4. 만들고 계속하기를 클릭합니다.
  5. 이 서비스 계정에 프로젝트에 대한 액세스 권한 부여 섹션에서 다음 역할을 추가합니다.
    1. 역할 선택을 클릭합니다.
    2. 스토리지 객체 관리자를 검색하여 선택합니다.
    3. + 다른 역할 추가를 클릭합니다.
    4. Cloud Run 호출자를 검색하여 선택합니다.
    5. + 다른 역할 추가를 클릭합니다.
    6. Cloud Functions 호출자를 검색하여 선택합니다.
  6. 계속을 클릭합니다.
  7. 완료를 클릭합니다.

GCS 버킷에 IAM 권한 부여

  1. Cloud Storage> 버킷으로 이동합니다.
  2. 버킷 이름 (netwrix-auditor-logs)을 클릭합니다.
  3. 권한 탭으로 이동합니다.
  4. 액세스 권한 부여를 클릭합니다.
  5. 다음 구성 세부정보를 제공합니다.
    • 주 구성원 추가: 서비스 계정 이메일 (netwrix-audit-collector-sa@PROJECT_ID.iam.gserviceaccount.com)을 입력합니다.
    • 역할 할당: 스토리지 객체 관리자 선택
  6. 저장을 클릭합니다.

게시/구독 주제 만들기

  1. GCP Console에서 Pub/Sub > 주제로 이동합니다.
  2. 주제 만들기를 클릭합니다.
  3. 다음 구성 세부정보를 제공합니다.
    • 주제 ID: netwrix-audit-trigger를 입력합니다.
    • 다른 설정은 기본값으로 둡니다.
  4. 만들기를 클릭합니다.

로그를 수집하는 Cloud Run 함수 만들기

Cloud Run 함수는 Cloud Scheduler의 Pub/Sub 메시지에 의해 트리거되어 Netwrix Auditor 통합 API에서 활동 레코드를 가져와 GCS에 씁니다.

  1. GCP Console에서 Cloud Run으로 이동합니다.
  2. 서비스 만들기를 클릭합니다.
  3. 함수를 선택합니다 (인라인 편집기를 사용하여 함수 만들기).

  4. 구성 섹션에서 다음 구성 세부정보를 제공합니다.

    설정
    서비스 이름 netwrix-audit-collector
    리전 GCS 버킷과 일치하는 리전을 선택합니다 (예: us-central1).
    런타임 Python 3.12 이상 선택

  5. 트리거 (선택사항) 섹션에서 다음을 수행합니다.

    1. + 트리거 추가를 클릭합니다.
    2. Cloud Pub/Sub를 선택합니다.
    3. Cloud Pub/Sub 주제 선택에서 netwrix-audit-trigger을 선택합니다.
    4. 저장을 클릭합니다.

  6. 인증 섹션에서 다음을 구성합니다.

    1. 인증 필요를 선택합니다.
    2. Identity and Access Management (IAM)을 확인합니다.

  7. 아래로 스크롤하고 컨테이너, 네트워킹, 보안을 펼칩니다.

  8. 보안 탭으로 이동합니다.

    • 서비스 계정: netwrix-audit-collector-sa 선택

  9. 컨테이너 탭으로 이동합니다.

    1. 변수 및 보안 비밀을 클릭합니다.
    2. 각 환경 변수에 대해 + 변수 추가를 클릭합니다.
    변수 이름 예시 값 설명
    GCS_BUCKET netwrix-auditor-logs GCS 버킷 이름
    GCS_PREFIX netwrix-audit 로그 파일의 접두사
    STATE_KEY netwrix-audit/state.json 상태 파일 경로
    NETWRIX_HOST auditor.enterprise.local Netwrix Auditor 서버 FQDN 또는 IP
    NETWRIX_PORT 9699 통합 API 포트
    NETWRIX_USER ENTERPRISE\chronicle-api DOMAIN\username 형식의 도메인 계정
    NETWRIX_PASS your-password 서비스 계정 비밀번호
    MAX_RECORDS 10000 실행당 최대 레코드 수
    LOOKBACK_HOURS 24 초기 전환 확인 기간

  10. 변수 및 보안 비밀 섹션에서 요청까지 아래로 스크롤합니다.

    • 요청 제한 시간: 600초 (10분)를 입력합니다.

  11. 설정 탭으로 이동합니다.

    • 리소스 섹션에서 다음을 수행합니다.
      • 메모리: 512MiB 이상 선택
      • CPU: 1을 선택합니다.

  12. 버전 확장 섹션에서 다음을 수행합니다.

    • 최소 인스턴스 수: 0를 입력합니다.
    • 최대 인스턴스 수: 100를 입력합니다.

  13. 만들기를 클릭합니다.

  14. 서비스가 생성될 때까지 기다립니다 (1~2분).

  15. 서비스가 생성되면 인라인 코드 편집기가 자동으로 열립니다.

함수 코드 추가

  1. 진입점 필드에 main을 입력합니다.

  2. 인라인 코드 편집기에서 다음 두 파일을 만듭니다.

    • main.py:
    import functions_framework
from google.cloud import storage
import json
import os
import requests
from requests_ntlm import HttpNtlmAuth
from datetime import datetime, timezone, timedelta
import time
import urllib3

# Suppress insecure HTTPS warnings for self-signed certificates
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'netwrix-audit')
STATE_KEY = os.environ.get('STATE_KEY', 'netwrix-audit/state.json')
NETWRIX_HOST = os.environ.get('NETWRIX_HOST')
NETWRIX_PORT = os.environ.get('NETWRIX_PORT', '9699')
NETWRIX_USER = os.environ.get('NETWRIX_USER')
NETWRIX_PASS = os.environ.get('NETWRIX_PASS')
MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '10000'))
LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))

def parse_datetime(value):
  """Parse ISO datetime string to datetime object."""
  if value.endswith("Z"):
    value = value[:-1] + "+00:00"
  return datetime.fromisoformat(value)

@functions_framework.cloud_event
def main(cloud_event):
  """
  Cloud Run function triggered by Pub/Sub to fetch Netwrix Auditor
  activity records and write to GCS.

  Args:
    cloud_event: CloudEvent object containing Pub/Sub message
  """

  if not all([GCS_BUCKET, NETWRIX_HOST, NETWRIX_USER, NETWRIX_PASS]):
    print('Error: Missing required environment variables')
    return

  try:
    bucket = storage_client.bucket(GCS_BUCKET)
    state = load_state(bucket)
    now = datetime.now(timezone.utc)

    if isinstance(state, dict) and state.get('last_event_time'):
      try:
        last_time = parse_datetime(state['last_event_time'])
        last_time = last_time - timedelta(minutes=2)
      except Exception as e:
        print(f"Warning: Could not parse last_event_time: {e}")
        last_time = now - timedelta(hours=LOOKBACK_HOURS)
    else:
      last_time = now - timedelta(hours=LOOKBACK_HOURS)

    print(f"Fetching activity records from {last_time.isoformat()} "
        f"to {now.isoformat()}")

    records, newest_event_time = fetch_activity_records(
      last_time, now
    )

    if not records:
      print("No new activity records found.")
      save_state(bucket, now.isoformat())
      return

    timestamp = now.strftime('%Y%m%d_%H%M%S')
    object_key = (
      f"{GCS_PREFIX}/netwrix_audit_{timestamp}.ndjson"
    )
    blob = bucket.blob(object_key)

    ndjson = '\n'.join(
      [json.dumps(r, ensure_ascii=False, default=str)
      for r in records]
    ) + '\n'
    blob.upload_from_string(
      ndjson, content_type='application/x-ndjson'
    )

    print(f"Wrote {len(records)} records to "
        f"gs://{GCS_BUCKET}/{object_key}")

    if newest_event_time:
      save_state(bucket, newest_event_time)
    else:
      save_state(bucket, now.isoformat())

    print(f"Successfully processed {len(records)} records")

  except Exception as e:
    print(f'Error processing activity records: {str(e)}')
    raise

def load_state(bucket):
  """Load state from GCS."""
  try:
    blob = bucket.blob(STATE_KEY)
    if blob.exists():
      return json.loads(blob.download_as_text())
  except Exception as e:
    print(f"Warning: Could not load state: {e}")
  return {}

def save_state(bucket, last_event_time_iso):
  """Save the last event timestamp to GCS state file."""
  try:
    state = {
      'last_event_time': last_event_time_iso,
      'last_run': datetime.now(timezone.utc).isoformat()
    }
    blob = bucket.blob(STATE_KEY)
    blob.upload_from_string(
      json.dumps(state, indent=2),
      content_type='application/json'
    )
    print(f"Saved state: last_event_time={last_event_time_iso}")
  except Exception as e:
    print(f"Warning: Could not save state: {e}")

def fetch_activity_records(start_time, end_time):
  """
  Fetch activity records from Netwrix Auditor Integration API
  using the enum endpoint with continuation mark pagination.

  The API returns up to 1000 records per request. Subsequent
  requests include the ContinuationMark from the previous
  response to retrieve the next batch.

  Args:
    start_time: Start time for filtering records
    end_time: End time for filtering records

  Returns:
    Tuple of (records list, newest_event_time ISO string)
  """
  base_url = (
    f"https://{NETWRIX_HOST}:{NETWRIX_PORT}"
    f"/netwrix/api/v1/activity_records/enum"
  )
  auth = HttpNtlmAuth(NETWRIX_USER, NETWRIX_PASS)
  session = requests.Session()
  session.auth = auth
  session.verify = False
  session.headers.update({
    'Content-Type': 'application/json',
    'Accept': 'application/json',
    'User-Agent': 'GoogleSecOps-NetwrixCollector/1.0'
  })

  all_records = []
  newest_time = None
  continuation_mark = None
  page_num = 0
  backoff = 1.0

  while True:
    page_num += 1

    if len(all_records) >= MAX_RECORDS:
      print(f"Reached max_records limit ({MAX_RECORDS})")
      break

    try:
      if continuation_mark:
        response = session.post(
          base_url,
          json={"ContinuationMark": continuation_mark},
          timeout=(10, 60)
        )
      else:
        response = session.get(
          base_url,
          timeout=(10, 60)
        )

      if response.status_code == 429:
        retry_after = int(
          response.headers.get(
            'Retry-After', str(int(backoff))
          )
        )
        print(f"Rate limited (429). Retrying after "
            f"{retry_after}s...")
        time.sleep(retry_after)
        backoff = min(backoff * 2, 30.0)
        continue

      backoff = 1.0

      if response.status_code != 200:
        print(f"HTTP Error: {response.status_code}")
        print(f"Response body: {response.text}")
        return all_records, newest_time

      data = response.json()

      page_results = data.get('ActivityRecordList', [])
      continuation_mark = data.get('ContinuationMark')

      if not page_results:
        print("No more activity records (empty page)")
        break

      # Filter records by time window
      filtered = []
      for record in page_results:
        when = record.get('When')
        if when:
          try:
            record_time = parse_datetime(when)
            if start_time <= record_time <= end_time:
              filtered.append(record)
            if (newest_time is None or
                record_time >
                parse_datetime(newest_time)):
              newest_time = when
          except Exception as e:
            print(f"Warning: Could not parse "
                f"record time: {e}")
            filtered.append(record)
        else:
          filtered.append(record)

      print(f"Page {page_num}: Retrieved "
          f"{len(page_results)} records, "
          f"{len(filtered)} within time window")
      all_records.extend(filtered)

      if not continuation_mark:
        print("No more pages (no ContinuationMark)")
        break

    except requests.exceptions.Timeout:
      print(f"Request timeout on page {page_num}")
      return all_records, newest_time
    except Exception as e:
      print(f"Error fetching activity records: {e}")
      return all_records, newest_time

  print(f"Retrieved {len(all_records)} total records "
      f"from {page_num} pages")
  return all_records, newest_time
    • requirements.txt:
    functions-framework==3.*
google-cloud-storage==2.*
requests>=2.31.0
requests-ntlm>=1.2.0

  3. 배포를 클릭하여 함수를 저장하고 배포합니다.

  4. 배포가 완료될 때까지 기다립니다 (2~3분).

Cloud Scheduler 작업 만들기

  1. GCP Console에서 Cloud Scheduler로 이동합니다.
  2. 작업 만들기를 클릭합니다.

  3. 다음 구성 세부정보를 제공합니다.

    설정
    이름 netwrix-audit-collector-hourly
    리전 Cloud Run 함수와 동일한 리전 선택
    주파수 0 * * * * (매시간 정각)
    시간대 시간대 선택 (UTC 권장)
    타겟 유형 Pub/Sub
    주제 netwrix-audit-trigger 선택
    메일 본문 {} (빈 JSON 객체)

  4. 만들기를 클릭합니다.

일정 빈도 옵션

로그 볼륨 및 지연 시간 요구사항에 따라 빈도를 선택합니다.

빈도 크론 표현식 사용 사례
5분마다 */5 * * * * 대용량, 저지연
15분마다 */15 * * * * 검색량 보통
1시간마다 0 * * * * 표준 (권장)
6시간마다 0 */6 * * * 양이 적은 일괄 처리
매일 0 0 * * * 이전 데이터 수집

통합 테스트

  1. Cloud Scheduler 콘솔에서 작업을 찾습니다 (netwrix-audit-collector-hourly).
  2. 강제 실행을 클릭하여 작업을 수동으로 트리거합니다.
  3. 몇 초 동안 기다립니다.
  4. Cloud Run > 서비스로 이동합니다.
  5. netwrix-audit-collector를 클릭합니다.
  6. 로그 탭을 클릭합니다.

  7. 함수가 성공적으로 실행되었는지 확인합니다. 다음 항목을 찾습니다.

    Fetching activity records from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
Page 1: Retrieved X records, X within time window
Wrote X records to gs://netwrix-auditor-logs/netwrix-audit/netwrix_audit_YYYYMMDD_HHMMSS.ndjson
Successfully processed X records

  8. Cloud Storage> 버킷으로 이동합니다.

  9. netwrix-auditor-logs를 클릭합니다.

  10. netwrix-audit/ 폴더로 이동합니다.

  11. 현재 타임스탬프를 사용하여 새 .ndjson 파일이 생성되었는지 확인합니다.

로그에 오류가 표시되는 경우:

  • HTTP 401: NETWRIX_USERNETWRIX_PASS 환경 변수가 올바르고 DOMAIN\username 형식을 사용하는지 확인합니다.
  • HTTP 403: Netwrix Auditor에서 서비스 계정에 전역 검토자 역할이 있는지 확인합니다.
  • HTTP 429: 비율 제한 -- 함수가 지수 백오프로 자동 재시도됩니다.
  • 연결 시간 제한: Cloud Run에서 포트 9691의 Netwrix Auditor Server로의 네트워크 연결을 확인합니다. 서버가 온프레미스인 경우 VPC 커넥터 또는 Cloud VPN이 구성되어 있는지 확인합니다.
  • 환경 변수 누락: Cloud Run 함수 구성에 필요한 모든 변수가 설정되어 있는지 확인합니다.

Google SecOps 서비스 계정 가져오기

  1. SIEM 설정> 피드로 이동합니다.
  2. 새 피드 추가를 클릭합니다.
  3. 단일 피드 구성을 클릭합니다.
  4. 피드 이름 필드에 피드 이름을 입력합니다(예: Netwrix Auditor Activity Records).
  5. 소스 유형으로 Google Cloud Storage V2를 선택합니다.
  6. 로그 유형으로 Netwrix를 선택합니다.
  7. 서비스 계정 가져오기를 클릭합니다.

  8. 고유한 서비스 계정 이메일이 표시됩니다. 예를 들면 다음과 같습니다.

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  9. 다음 단계에서 사용할 수 있도록 이 이메일 주소를 복사합니다.

  10. 다음을 클릭합니다.

  11. 다음 입력 매개변수의 값을 지정합니다.

    • 스토리지 버킷 URL: 다음 접두사 경로를 사용하여 GCS 버킷 URI를 입력합니다.

      gs://netwrix-auditor-logs/netwrix-audit/
    • 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
      • 삭제 안함: 전송 후 파일을 삭제하지 않습니다 (테스트에 권장).
      • 전송된 파일 삭제: 전송이 완료되면 파일을 삭제합니다.
      • 전송된 파일 및 빈 디렉터리 삭제: 전송이 완료되면 파일과 빈 디렉터리를 삭제합니다.
    • 최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다 (기본값은 180일).
    • 애셋 네임스페이스: 애셋 네임스페이스
    • 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.

  12. 다음을 클릭합니다.

  13. 확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

Google SecOps 서비스 계정에 IAM 권한 부여

  1. Cloud Storage> 버킷으로 이동합니다.
  2. netwrix-auditor-logs를 클릭합니다.
  3. 권한 탭으로 이동합니다.
  4. 액세스 권한 부여를 클릭합니다.
  5. 다음 구성 세부정보를 제공합니다.
    • 주 구성원 추가: Google SecOps 서비스 계정 이메일을 붙여넣습니다.
    • 역할 할당: 스토리지 객체 뷰어를 선택합니다.

  6. 저장을 클릭합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
명령 코드 about.labels 정보와 연결된 라벨
캡션 about.resource.attribute.labels 정보 섹션의 리소스에 대한 속성 라벨
작업 additional.fields 이벤트에 관한 추가 정보가 포함된 추가 필드
대상 additional.fields
알림 additional.fields
설명 additional.fields
추가됨 additional.fields
삭제됨 additional.fields
service_type additional.fields
세부정보 additional.fields
extensions.auth.type extensions.auth.type 사용된 인증 유형
EventReceivedTime metadata.collected_timestamp 시스템에서 이벤트를 수집한 시점의 타임스탬프
메시지 metadata.description 이벤트의 설명
event_type metadata.event_type 이벤트 유형
EventType metadata.product_event_type 제품별 이벤트 유형
EventID metadata.product_log_id 제품별 로그 식별자
SourceModuleType observer.application 이벤트를 관찰한 애플리케이션
호스트 이름 principal.asset.hostname 주 구성원과 연결된 애셋의 호스트 이름
WHERE principal.asset.hostname
워크스테이션 principal.asset.hostname
device_name principal.asset.hostname
워크스테이션 principal.hostname 주 구성원의 호스트 이름
device_name principal.hostname
ProcessID principal.process.pid 주체의 프로세스 ID
이름 principal.resource.name 주 구성원과 연결된 리소스의 이름
참석자 principal.user.user_display_name 사용자의 표시 이름
SourceName security_result.about.resource.attribute.labels 보안 결과의 정보에 대한 리소스 속성 라벨
action security_result.action 보안 결과에서 취해진 조치
action_details security_result.action_details 보안 결과의 작업 세부정보
backup_name security_result.description 보안 결과 설명
service_failed security_result.description
키워드 security_result.detection_fields 보안 결과에서 탐지에 사용되는 필드
RecordNumber security_result.detection_fields
session_ID security_result.detection_fields
allow_connection_with_desktop security_result.detection_fields
service_account security_result.detection_fields
심각도 security_result.severity 보안 결과의 심각도 수준
SeverityValue security_result.severity
요약 security_result.summary 보안 결과 요약
application_name target.application 타겟의 애플리케이션
호스트 이름 target.asset.hostname 타겟과 연결된 애셋의 호스트 이름
WHERE target.asset.hostname
file_path target.file.full_path 타겟 파일의 전체 경로
크기 target.file.size 타겟 파일의 크기
호스트 이름 target.hostname 타겟의 호스트 이름
WHERE target.hostname
유형 target.resource.attribute.labels 타겟 리소스의 속성 라벨
SourceModuleName target.resource.name 타겟 리소스의 이름
DataSource metadata.product_name 이벤트를 생성한 제품의 이름
metadata.vendor_name metadata.vendor_name 공급업체 이름

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.