SLACK_AUDIT
다음에서 지원:
Google secops
SIEM
이 가이드에서는 Google Cloud Run Functions 또는 AWS Lambda가 포함된 Amazon S3를 사용하여 Slack 감사 로그를 Google Security Operations로 수집하는 방법을 설명합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- 조직 소유자 또는 관리자 액세스 권한이 있는 Slack Enterprise Grid 요금제
- 다음 중 하나에 대한 액세스 권한 관리:
- Google Cloud (옵션 1: Cloud Run Functions 및 Cloud Scheduler의 경우)
- AWS (옵션 2: S3, IAM, Lambda, EventBridge)
Slack 감사 로그 수집 필수사항 (앱 ID, OAuth 토큰, 조직 ID)
Slack 감사 로그 API에는 auditlogs:read 범위가 있는 사용자 OAuth 토큰이 필요합니다. 이 토큰은 워크스페이스 수준이 아닌 Enterprise Grid 조직 수준에서 앱을 설치하여 획득해야 합니다.
감사 로그용 Slack 앱 만들기
- Enterprise Grid 조직 소유자 또는 관리자 계정으로 Slack 관리 콘솔에 로그인합니다.
- https://api.slack.com/apps로 이동하여 새 앱 만들기 > 처음부터를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 앱 이름: 설명이 포함된 이름을 입력합니다 (예:
Google SecOps Audit Integration). - 앱을 개발할 작업공간 선택: 개발 Slack 작업공간 (조직의 모든 작업공간)을 선택합니다.
- 앱 이름: 설명이 포함된 이름을 입력합니다 (예:
- 앱 만들기를 클릭합니다.
OAuth 범위 구성
- 왼쪽 사이드바에서 OAuth & Permissions(OAuth 및 권한)로 이동합니다.
- 범위 섹션까지 아래로 스크롤합니다.
- User Token Scopes (봇 토큰 범위 아님)에서 Add an OAuth Scope를 클릭합니다.
auditlogs:read범위를 추가합니다.
공개 배포 사용 설정
- 왼쪽 사이드바에서 배포 관리로 이동합니다.
- 다른 워크스페이스와 앱 공유에서 네 섹션 모두 녹색 체크표시가 있는지 확인합니다.
- 하드 코딩된 정보 삭제
- 공개 배포 활성화
- 리디렉션 URL 설정
- OAuth 범위 추가
- 공개 배포 활성화를 클릭합니다.
엔터프라이즈 그리드 조직에 앱 설치
- 왼쪽 사이드바에서 OAuth & Permissions(OAuth 및 권한)로 이동합니다.
- 조직에 설치를 클릭합니다('작업공간에 설치' 아님).
중요: 설치 화면의 오른쪽 상단에 있는 드롭다운을 확인하여 개인 작업공간이 아닌 엔터프라이즈 조직에 설치하고 있는지 확인합니다.
- 요청된 권한을 검토하고 허용을 클릭합니다.
- 승인이 완료되면 OAuth 및 권한 페이지로 다시 리디렉션됩니다.
사용자 인증 정보 가져오기
- 작업공간의 OAuth 토큰에서 사용자 OAuth 토큰을 찾습니다.
xoxp-로 시작하는 토큰 (예:xoxp-1234567890-0987654321-1234567890-abc123def456)을 복사하여 안전하게 저장합니다.
중요: Lambda 함수 또는 Cloud Run 함수의 SLACK_ADMIN_TOKEN입니다. 안전하게 보관하세요.
- 조직 ID를 기록해 둡니다.
- Slack 관리 콘솔로 이동합니다.
- 설정 및 권한 > 조직 설정으로 이동합니다.
- 조직 ID를 복사합니다.
옵션 1: Google Cloud Run Functions를 사용하여 Slack 감사 로그 내보내기 구성
이 옵션은 Google Cloud Run Functions 및 Cloud Scheduler를 사용하여 Slack 감사 로그를 수집하고 Google SecOps에 직접 수집합니다.
디렉터리 설정
- 로컬 머신에 Cloud Run 함수 배포를 위한 새 디렉터리를 만듭니다.
- Chronicle 수집 스크립트 GitHub 저장소에서 다음 파일을 다운로드합니다.
- slack 폴더에서 다음을 다운로드합니다.
.env.ymlmain.pyrequirements.txt
- 저장소의 루트에서 모든 파일과 함께 전체 common 디렉터리를 다운로드합니다.
common/__init__.pycommon/auth.pycommon/env_constants.pycommon/ingest.pycommon/status.pycommon/utils.py
- slack 폴더에서 다음을 다운로드합니다.
- 다운로드한 모든 파일을 배포 디렉터리에 배치합니다.
디렉터리 구조는 다음과 같습니다.
deployment_directory/
├─common/
│ ├─__init__.py
│ ├─auth.py
│ ├─env_constants.py
│ ├─ingest.py
│ ├─status.py
│ └─utils.py
├─.env.yml
├─main.py
└─requirements.txt
Google Secret Manager에서 보안 비밀 만들기
- Google Cloud 콘솔에서 보안 > Secret Manager로 이동합니다.
- 보안 비밀 만들기를 클릭합니다.
- Chronicle 서비스 계정에 다음 구성 세부정보를 제공합니다.
- 이름:
chronicle-service-account를 입력합니다. - 보안 비밀 값: Google SecOps 수집 인증 JSON 파일의 내용을 붙여넣습니다.
- 이름:
- 보안 비밀 만들기를 클릭합니다.
projects/<PROJECT_ID>/secrets/chronicle-service-account/versions/latest형식으로 된 보안 비밀 리소스 이름을 복사합니다.- 보안 비밀 만들기를 다시 클릭하여 두 번째 보안 비밀을 만듭니다.
- Slack 토큰에 대해 다음 구성 세부정보를 제공합니다.
- 이름:
slack-admin-token를 입력합니다. - 보안 비밀 값: Slack 사용자 OAuth 토큰 (
xoxp-로 시작)을 붙여넣습니다.
- 이름:
- 보안 비밀 만들기를 클릭합니다.
projects/<PROJECT_ID>/secrets/slack-admin-token/versions/latest형식으로 된 보안 비밀 리소스 이름을 복사합니다.
필수 런타임 환경 변수 설정
- 배포 디렉터리에서
.env.yml파일을 엽니다. - 환경 변수를 값으로 구성합니다.
CHRONICLE_CUSTOMER_ID: "<your-chronicle-customer-id>"
CHRONICLE_REGION: us
CHRONICLE_SERVICE_ACCOUNT: "projects/<PROJECT_ID>/secrets/chronicle-service-account/versions/latest"
CHRONICLE_NAMESPACE: ""
POLL_INTERVAL: "5"
SLACK_ADMIN_TOKEN: "projects/<PROJECT_ID>/secrets/slack-admin-token/versions/latest"
다음을 바꿉니다.
<your-chronicle-customer-id>: Google SecOps 고객 ID입니다.<PROJECT_ID>: Google Cloud 프로젝트 ID입니다.- CHRONICLE_REGION: Google SecOps 리전으로 설정합니다. 유효한 값:
us,asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2,southamerica-east1. - POLL_INTERVAL: 함수가 실행되는 빈도 간격 (분)입니다. 이 기간은 Cloud Scheduler 작업 간격과 동일해야 합니다.
.env.yml파일을 저장합니다.
Cloud Run 함수 배포
- Google Cloud 콘솔에서 터미널 또는 Cloud Shell을 엽니다.
- 배포 디렉터리로 이동합니다.
cd /path/to/deployment_directory
- 다음 명령어를 실행하여 Cloud Run 함수를 배포합니다.
gcloud functions deploy slack-audit-to-chronicle \
--entry-point main \
--trigger-http \
--runtime python39 \
--env-vars-file .env.yml \
--timeout 300s \
--memory 512MB \
--service-account <SERVICE_ACCOUNT_EMAIL>
<SERVICE_ACCOUNT_EMAIL>을 Cloud Run 함수에서 사용할 서비스 계정의 이메일 주소로 바꿉니다.
- 배포가 완료될 때까지 기다립니다.
- 배포가 완료되면 출력에서 함수 URL을 기록해 둡니다.
Cloud Scheduler 설정
- Google Cloud 콘솔에서 Cloud Scheduler > 작업 만들기로 이동합니다.
- 다음 구성 세부정보를 제공합니다.
- 이름:
slack-audit-scheduler를 입력합니다. - 리전: Cloud Run 함수를 배포한 동일한 리전을 선택합니다.
- 빈도:
*/5 * * * *를 입력합니다 (POLL_INTERVAL값과 일치하는 5분마다 실행됨). - 시간대: UTC를 선택합니다.
- 대상 유형: HTTP를 선택합니다.
- URL: 배포 출력에서 Cloud Run 함수 URL을 입력합니다.
- HTTP 메서드: POST를 선택합니다.
- 인증 헤더: OIDC 토큰 추가를 선택합니다.
- 서비스 계정: Cloud Run 함수에 사용된 동일한 서비스 계정을 선택합니다.
- 이름:
- 만들기를 클릭합니다.
옵션 2: AWS S3를 사용하여 Slack 감사 로그 내보내기 구성
이 옵션은 AWS Lambda를 사용하여 Slack 감사 로그를 수집하고 S3에 저장한 다음 로그를 수집하도록 Google SecOps 피드를 구성합니다.
Google SecOps용 AWS S3 버킷 및 IAM 구성
- 이 사용자 가이드(버킷 만들기)에 따라 Amazon S3 버킷을 만듭니다.
- 나중에 참조할 수 있도록 버킷 이름과 리전을 저장합니다(예:
slack-audit-logs). - 이 사용자 가이드(IAM 사용자 만들기)에 따라 사용자를 만듭니다.
- 생성된 사용자를 선택합니다.
- 보안용 사용자 인증 정보 탭을 선택합니다.
- 액세스 키 섹션에서 액세스 키 만들기를 클릭합니다.
- 사용 사례로 서드 파티 서비스를 선택합니다.
- 다음을 클릭합니다.
- 선택사항: 설명 태그를 추가합니다.
- 액세스 키 만들기를 클릭합니다.
- .csv 파일 다운로드를 클릭하여 나중에 참고할 수 있도록 액세스 키와 보안 비밀 액세스 키를 저장합니다.
- 완료를 클릭합니다.
- 권한 탭을 선택합니다.
- 권한 정책 섹션에서 권한 추가를 클릭합니다.
- 권한 추가를 선택합니다.
- 정책 직접 연결을 선택합니다.
- AmazonS3FullAccess 정책을 검색합니다.
- 정책을 선택합니다.
- 다음을 클릭합니다.
- 권한 추가를 클릭합니다.
S3 업로드용 IAM 정책 및 역할 구성
- AWS 콘솔에서 IAM > 정책 > 정책 만들기 > JSON 탭으로 이동합니다.
- 아래 정책을 복사하여 붙여넣습니다.
- 정책 JSON (다른 버킷 이름을 입력한 경우
slack-audit-logs대체):
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowPutObjects",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::slack-audit-logs/*"
},
{
"Sid": "AllowGetStateObject",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::slack-audit-logs/slack/audit/state.json"
}
]
}
- 다음을 클릭합니다.
- 정책 이름
SlackAuditS3Policy를 입력합니다. - 정책 만들기를 클릭합니다.
- IAM > 역할 > 역할 생성 > AWS 서비스 > Lambda로 이동합니다.
- 새로 만든 정책
SlackAuditS3Policy을 연결합니다. - 역할 이름을
SlackAuditToS3Role로 지정하고 역할 만들기를 클릭합니다.
Lambda 함수 만들기
- AWS 콘솔에서 Lambda > 함수 > 함수 만들기로 이동합니다.
- 처음부터 작성을 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
| 설정 | 값 |
|---|---|
| 이름 | slack_audit_to_s3 |
| 런타임 | Python 3.13 |
| 아키텍처 | x86_64 |
| 실행 역할 | SlackAuditToS3Role |
- 함수 만들기를 클릭합니다.
- 함수가 생성되면 코드 탭을 열고 스텁을 삭제한 후 아래 코드를 붙여넣습니다 (
slack_audit_to_s3.py).
#!/usr/bin/env python3
# Lambda: Pull Slack Audit Logs (Enterprise Grid) to S3 (JSONL format)
import os, json, time, urllib.parse
from urllib.request import Request, urlopen
from urllib.error import HTTPError, URLError
import boto3
BASE_URL = "https://api.slack.com/audit/v1/logs"
TOKEN = os.environ["SLACK_AUDIT_TOKEN"] # org-level user token with auditlogs:read
BUCKET = os.environ["S3_BUCKET"]
PREFIX = os.environ.get("S3_PREFIX", "slack/audit/")
STATE_KEY = os.environ.get("STATE_KEY", "slack/audit/state.json")
LIMIT = int(os.environ.get("LIMIT", "200")) # Slack recommends <= 200
MAX_PAGES = int(os.environ.get("MAX_PAGES", "20"))
LOOKBACK_SEC = int(os.environ.get("LOOKBACK_SECONDS", "3600")) # First-run window
HTTP_TIMEOUT = int(os.environ.get("HTTP_TIMEOUT", "60"))
HTTP_RETRIES = int(os.environ.get("HTTP_RETRIES", "3"))
RETRY_AFTER_DEFAULT = int(os.environ.get("RETRY_AFTER_DEFAULT", "2"))
# Optional server-side filters (comma-separated 'action' values), empty means no filter
ACTIONS = os.environ.get("ACTIONS", "").strip()
s3 = boto3.client("s3")
def _get_state() -> dict:
try:
obj = s3.get_object(Bucket=BUCKET, Key=STATE_KEY)
st = json.loads(obj["Body"].read() or b"{}")
return {"cursor": st.get("cursor")}
except Exception:
return {"cursor": None}
def _put_state(state: dict) -> None:
body = json.dumps(state, separators=(",", ":")).encode("utf-8")
s3.put_object(Bucket=BUCKET, Key=STATE_KEY, Body=body, ContentType="application/json")
def _http_get(params: dict) -> dict:
qs = urllib.parse.urlencode(params, doseq=True)
url = f"{BASE_URL}?{qs}" if qs else BASE_URL
req = Request(url, method="GET")
req.add_header("Authorization", f"Bearer {TOKEN}")
req.add_header("Accept", "application/json")
attempt = 0
while True:
try:
with urlopen(req, timeout=HTTP_TIMEOUT) as r:
return json.loads(r.read().decode("utf-8"))
except HTTPError as e:
# Respect Retry-After on 429/5xx
if e.code in (429, 500, 502, 503, 504) and attempt < HTTP_RETRIES:
retry_after = 0
try:
retry_after = int(e.headers.get("Retry-After", RETRY_AFTER_DEFAULT))
except Exception:
retry_after = RETRY_AFTER_DEFAULT
time.sleep(max(1, retry_after))
attempt += 1
continue
# Re-raise other HTTP errors
raise
except URLError:
if attempt < HTTP_RETRIES:
time.sleep(RETRY_AFTER_DEFAULT)
attempt += 1
continue
raise
def _write_page(data: dict, page_idx: int) -> str:
"""
Extract entries from Slack API response and write as JSONL (one event per line).
Chronicle requires newline-delimited JSON, not a JSON array.
"""
entries = data.get("entries") or []
if not entries:
# No entries to write, skip file creation
return None
# Convert each entry to a single-line JSON string
lines = [json.dumps(entry, separators=(",", ":")) for entry in entries]
# Join with newlines to create JSONL format
body = "\n".join(lines).encode("utf-8")
# Write to S3
ts = time.strftime("%Y/%m/%d/%H%M%S", time.gmtime())
key = f"{PREFIX}{ts}-slack-audit-p{page_idx:05d}.json"
s3.put_object(Bucket=BUCKET, Key=key, Body=body, ContentType="application/json")
return key
def lambda_handler(event=None, context=None):
state = _get_state()
cursor = state.get("cursor")
params = {"limit": LIMIT}
if ACTIONS:
params["action"] = [a.strip() for a in ACTIONS.split(",") if a.strip()]
if cursor:
params["cursor"] = cursor
else:
# First run (or reset): fetch a recent window by time
params["oldest"] = int(time.time()) - LOOKBACK_SEC
pages = 0
total = 0
last_cursor = None
while pages < MAX_PAGES:
data = _http_get(params)
# Write entries in JSONL format
written_key = _write_page(data, pages)
entries = data.get("entries") or []
total += len(entries)
# Cursor for next page
meta = data.get("response_metadata") or {}
next_cursor = meta.get("next_cursor") or data.get("next_cursor")
if next_cursor:
params = {"limit": LIMIT, "cursor": next_cursor}
if ACTIONS:
params["action"] = [a.strip() for a in ACTIONS.split(",") if a.strip()]
last_cursor = next_cursor
pages += 1
continue
break
if last_cursor:
_put_state({"cursor": last_cursor})
return {"ok": True, "pages": pages + (1 if total or last_cursor else 0), "entries": total, "cursor": last_cursor}
if __name__ == "__main__":
print(lambda_handler())
- 구성 > 환경 변수 > 수정 > 환경 변수 추가로 이동합니다.
- 아래에 제공된 환경 변수를 입력하고 값으로 바꿉니다.
환경 변수
| 키 | 예시 값 |
|---|---|
S3_BUCKET |
slack-audit-logs |
S3_PREFIX |
slack/audit/ |
STATE_KEY |
slack/audit/state.json |
SLACK_AUDIT_TOKEN |
xoxp-*** (auditlogs:read이 있는 조직 수준 사용자 토큰) |
LIMIT |
200 |
MAX_PAGES |
20 |
LOOKBACK_SECONDS |
3600 |
HTTP_TIMEOUT |
60 |
HTTP_RETRIES |
3 |
RETRY_AFTER_DEFAULT |
2 |
ACTIONS |
(선택사항, CSV) user_login,app_installed |
- 저장을 클릭합니다.
- 구성 탭을 선택합니다.
- 일반 구성 패널에서 수정을 클릭합니다.
- 제한 시간을 5분 (300초)로 변경하고 저장을 클릭합니다.
EventBridge 일정 만들기
- Amazon EventBridge > 스케줄러 > 일정 만들기로 이동합니다.
- 다음 구성 세부정보를 제공합니다.
- 이름:
slack-audit-1h를 입력합니다. - 반복 일정: 요금 기반 일정을 선택합니다.
- 요율 표현식:
1시간을 입력합니다. - 유연한 시간대: 사용 안함을 선택합니다.
- 이름:
- 다음을 클릭합니다.
- 타겟을 선택합니다.
- 타겟 API: AWS Lambda 호출을 선택합니다.
- Lambda 함수:
slack_audit_to_s3를 선택합니다.
- 다음을 클릭합니다.
- 다음을 클릭합니다 (선택적 설정은 건너뜁니다).
- 검토한 후 일정 만들기를 클릭합니다.
(선택사항) Google SecOps용 읽기 전용 IAM 사용자 및 키 만들기
- AWS 콘솔 > IAM > 사용자 > 사용자 만들기로 이동합니다.
- 다음 구성 세부정보를 제공합니다.
- 사용자 이름:
secops-reader를 입력합니다. - 액세스 유형: 프로그래매틱 액세스를 선택합니다.
- 사용자 이름:
- 다음을 클릭합니다.
- 정책 직접 연결을 선택합니다.
- 정책 만들기를 클릭합니다.
- JSON 탭에 다음을 붙여넣습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:GetObject"],
"Resource": "arn:aws:s3:::slack-audit-logs/*"
},
{
"Effect": "Allow",
"Action": ["s3:ListBucket"],
"Resource": "arn:aws:s3:::slack-audit-logs"
}
]
}
- 다음을 클릭합니다.
- 정책 이름
secops-reader-policy를 입력합니다. - 정책 만들기를 클릭합니다.
- 사용자 생성 페이지로 돌아가서 정책 목록을 새로고침하고
secops-reader-policy를 선택합니다. - 다음을 클릭합니다.
- 사용자 만들기를 클릭합니다.
- 생성된 사용자
secops-reader을 선택합니다. - 보안용 사용자 인증 정보> 액세스 키> 액세스 키 만들기로 이동합니다.
- 서드 파티 서비스를 선택합니다.
- 다음을 클릭합니다.
- 액세스 키 만들기를 클릭합니다.
- .csv 파일 다운로드를 클릭하여 사용자 인증 정보를 저장합니다.
Slack 감사 로그를 수집하도록 Google SecOps에서 피드 구성
- SIEM 설정> 피드로 이동합니다.
- 새로 추가를 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다(예:
Slack Audit Logs). - 소스 유형으로 Amazon S3 V2를 선택합니다.
- 로그 유형으로 Slack 감사를 선택합니다.
- 다음을 클릭합니다.
- 다음 입력 파라미터의 값을 지정합니다.
- S3 URI:
s3://slack-audit-logs/slack/audit/ - 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
- 최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.
- 액세스 키 ID: S3 버킷에 대한 액세스 권한이 있는 사용자 액세스 키 (
secops-reader에서 가져옴) - 보안 비밀 액세스 키: S3 버킷에 액세스할 수 있는 사용자 보안 비밀 키 (
secops-reader에서 가져옴) - 애셋 네임스페이스: 애셋 네임스페이스입니다.
- 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.
- S3 URI:
- 다음을 클릭합니다.
- 확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
action |
metadata.product_event_type |
원시 로그의 action 필드에서 직접 매핑됩니다. |
actor.type |
principal.labels.value |
actor.type 필드에서 직접 매핑되며 키 actor.type가 추가됩니다. |
actor.user.email |
principal.user.email_addresses |
actor.user.email 필드에서 직접 매핑됩니다. |
actor.user.id |
principal.user.product_object_id |
actor.user.id 필드에서 직접 매핑됩니다. |
actor.user.id |
principal.user.userid |
actor.user.id 필드에서 직접 매핑됩니다. |
actor.user.name |
principal.user.user_display_name |
actor.user.name 필드에서 직접 매핑됩니다. |
actor.user.team |
principal.user.group_identifiers |
actor.user.team 필드에서 직접 매핑됩니다. |
context.ip_address |
principal.ip |
context.ip_address 필드에서 직접 매핑됩니다. |
context.location.domain |
about.resource.attribute.labels.value |
context.location.domain 필드에서 직접 매핑되며 키 context.location.domain가 추가됩니다. |
context.location.id |
about.resource.id |
context.location.id 필드에서 직접 매핑됩니다. |
context.location.name |
about.resource.name |
context.location.name 필드에서 직접 매핑됩니다. |
context.location.name |
about.resource.attribute.labels.value |
context.location.name 필드에서 직접 매핑되며 키 context.location.name가 추가됩니다. |
context.location.type |
about.resource.resource_subtype |
context.location.type 필드에서 직접 매핑됩니다. |
context.session_id |
network.session_id |
context.session_id 필드에서 직접 매핑됩니다. |
context.ua |
network.http.user_agent |
context.ua 필드에서 직접 매핑됩니다. |
context.ua |
network.http.parsed_user_agent |
parseduseragent 필터를 사용하여 context.ua 필드에서 파싱된 사용자 에이전트 정보입니다. |
country |
principal.location.country_or_region |
country 필드에서 직접 매핑됩니다. |
date_create |
metadata.event_timestamp.seconds |
date_create 필드의 에포크 타임스탬프가 타임스탬프 객체로 변환됩니다. |
details.inviter.email |
target.user.email_addresses |
details.inviter.email 필드에서 직접 매핑됩니다. |
details.inviter.id |
target.user.product_object_id |
details.inviter.id 필드에서 직접 매핑됩니다. |
details.inviter.name |
target.user.user_display_name |
details.inviter.name 필드에서 직접 매핑됩니다. |
details.inviter.team |
target.user.group_identifiers |
details.inviter.team 필드에서 직접 매핑됩니다. |
details.reason |
security_result.description |
details.reason 필드에서 직접 매핑되거나 배열인 경우 쉼표로 연결됩니다. |
details.type |
about.resource.attribute.labels.value |
details.type 필드에서 직접 매핑되며 키 details.type가 추가됩니다. |
details.type |
security_result.summary |
details.type 필드에서 직접 매핑됩니다. |
entity.app.id |
target.resource.id |
entity.app.id 필드에서 직접 매핑됩니다. |
entity.app.name |
target.resource.name |
entity.app.name 필드에서 직접 매핑됩니다. |
entity.channel.id |
target.resource.id |
entity.channel.id 필드에서 직접 매핑됩니다. |
entity.channel.name |
target.resource.name |
entity.channel.name 필드에서 직접 매핑됩니다. |
entity.channel.privacy |
target.resource.attribute.labels.value |
entity.channel.privacy 필드에서 직접 매핑되며 키 entity.channel.privacy가 추가됩니다. |
entity.file.filetype |
target.resource.attribute.labels.value |
entity.file.filetype 필드에서 직접 매핑되며 키 entity.file.filetype가 추가됩니다. |
entity.file.id |
target.resource.id |
entity.file.id 필드에서 직접 매핑됩니다. |
entity.file.name |
target.resource.name |
entity.file.name 필드에서 직접 매핑됩니다. |
entity.file.title |
target.resource.attribute.labels.value |
entity.file.title 필드에서 직접 매핑되며 키 entity.file.title가 추가됩니다. |
entity.huddle.date_end |
about.resource.attribute.labels.value |
entity.huddle.date_end 필드에서 직접 매핑되며 키 entity.huddle.date_end가 추가됩니다. |
entity.huddle.date_start |
about.resource.attribute.labels.value |
entity.huddle.date_start 필드에서 직접 매핑되며 키 entity.huddle.date_start가 추가됩니다. |
entity.huddle.id |
about.resource.attribute.labels.value |
entity.huddle.id 필드에서 직접 매핑되며 키 entity.huddle.id가 추가됩니다. |
entity.huddle.participants.0 |
about.resource.attribute.labels.value |
entity.huddle.participants.0 필드에서 직접 매핑되며 키 entity.huddle.participants.0가 추가됩니다. |
entity.huddle.participants.1 |
about.resource.attribute.labels.value |
entity.huddle.participants.1 필드에서 직접 매핑되며 키 entity.huddle.participants.1가 추가됩니다. |
entity.type |
target.resource.resource_subtype |
entity.type 필드에서 직접 매핑됩니다. |
entity.user.email |
target.user.email_addresses |
entity.user.email 필드에서 직접 매핑됩니다. |
entity.user.id |
target.user.product_object_id |
entity.user.id 필드에서 직접 매핑됩니다. |
entity.user.name |
target.user.user_display_name |
entity.user.name 필드에서 직접 매핑됩니다. |
entity.user.team |
target.user.group_identifiers |
entity.user.team 필드에서 직접 매핑됩니다. |
entity.workflow.id |
target.resource.id |
entity.workflow.id 필드에서 직접 매핑됩니다. |
entity.workflow.name |
target.resource.name |
entity.workflow.name 필드에서 직접 매핑됩니다. |
id |
metadata.product_log_id |
id 필드에서 직접 매핑됩니다. |
ip |
principal.ip |
ip 필드에서 직접 매핑됩니다. action 필드를 기반으로 한 로직에 따라 결정됩니다. 기본값은 USER_COMMUNICATION이지만 action 값에 따라 USER_CREATION, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_RESOURCE_UPDATE_PERMISSIONS, USER_CHANGE_PERMISSIONS와 같은 다른 값으로 변경됩니다. 'SLACK_AUDIT'으로 하드코딩됩니다. date_create가 있는 경우 'Enterprise Grid'로 설정하고, 그렇지 않고 user_id가 있는 경우 '감사 로그'로 설정합니다. 'Slack'으로 하드코딩됨 'REMOTE'로 하드코딩됩니다. action에 'user_login' 또는 'user_logout'이 포함된 경우 'SSO'로 설정됩니다. 그 외의 경우 'MACHINE'으로 설정합니다. 제공된 예시에서 매핑되지 않았습니다. 기본값은 'ALLOW'이지만 action이 'user_login_failed'인 경우 'BLOCK'으로 설정됩니다. date_create이 있으면 'Slack'으로 설정하고, 그렇지 않고 user_id이 있으면 'SLACK'으로 설정합니다. |
user_agent |
network.http.user_agent |
user_agent 필드에서 직접 매핑됩니다. |
user_id |
principal.user.product_object_id |
user_id 필드에서 직접 매핑됩니다. |
username |
principal.user.product_object_id |
username 필드에서 직접 매핑됩니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.