Slack 감사 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Google Cloud Run 함수 또는 Amazon S3와 AWS Lambda를 사용하여 Slack 감사 로그를 Google Security Operations로 수집하는 방법을 설명합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- 조직 소유자 또는 관리자 액세스 권한이 있는 Slack Enterprise Grid 요금제
- 다음 중 하나에 대한 액세스 권한 관리:
- Google Cloud (옵션 1: Cloud Run Functions 및 Cloud Scheduler)
- AWS (옵션 2: S3, IAM, Lambda, EventBridge)
Slack 감사 로그 수집 필수사항 (앱 ID, OAuth 토큰, 조직 ID)
Slack 감사 로그 API에는 auditlogs:read 범위가 있는 사용자 OAuth 토큰이 필요합니다. 이 토큰은 워크스페이스 수준이 아닌 Enterprise Grid 조직 수준에서 앱을 설치하여 획득해야 합니다.
감사 로그용 Slack 앱 만들기
- Enterprise Grid 조직 소유자 또는 관리자 계정으로 Slack 관리 콘솔에 로그인합니다.
- https://api.slack.com/apps로 이동하여 새 앱 만들기 > 처음부터를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 앱 이름: 설명이 포함된 이름을 입력합니다 (예:
Google SecOps Audit Integration). - 앱을 개발할 작업공간 선택: 개발 Slack 작업공간 (조직의 모든 작업공간)을 선택합니다.
- 앱 이름: 설명이 포함된 이름을 입력합니다 (예:
- 앱 만들기를 클릭합니다.
OAuth 범위 구성
- 왼쪽 사이드바에서 OAuth & Permissions(OAuth 및 권한)로 이동합니다.
- 범위 섹션으로 이동합니다.
- User Token Scopes (봇 토큰 범위 아님)에서 Add an OAuth Scope를 클릭합니다.
auditlogs:read범위를 추가합니다.
공개 배포 사용 설정
- 왼쪽 사이드바에서 배포 관리로 이동합니다.
- 다른 워크스페이스와 앱 공유에서 네 섹션 모두 녹색 체크표시가 있는지 확인합니다.
- 하드 코딩된 정보 삭제
- 공개 배포 활성화
- 리디렉션 URL 설정
- OAuth 범위 추가
- 공개 배포 활성화를 클릭합니다.
Enterprise Grid 조직에 앱 설치
- 왼쪽 사이드바에서 OAuth & Permissions(OAuth 및 권한)로 이동합니다.
- 조직에 설치를 클릭합니다('작업공간에 설치' 아님).
중요: 설치 화면의 오른쪽 상단에 있는 드롭다운을 확인하여 개인 작업공간이 아닌 엔터프라이즈 조직에 설치하고 있는지 확인합니다.
- 요청된 권한을 검토하고 허용을 클릭합니다.
- 승인이 완료되면 OAuth 및 권한 페이지로 다시 리디렉션됩니다.
사용자 인증 정보 가져오기
- 작업공간의 OAuth 토큰에서 사용자 OAuth 토큰을 찾습니다.
xoxp-로 시작하는 토큰 (예:xoxp-1234567890-0987654321-1234567890-abc123def456)을 복사하여 안전하게 저장합니다.조직 ID를 확인합니다.
- Slack 관리 콘솔로 이동합니다.
- 설정 및 권한 > 조직 설정으로 이동합니다.
- 조직 ID를 복사합니다.
옵션 1: Google Cloud Run 함수를 사용하여 Slack 감사 로그 내보내기 구성
이 옵션은 Google Cloud Run 함수와 Cloud Scheduler를 사용하여 Slack 감사 로그를 수집하고 Google SecOps에 직접 수집합니다.
디렉터리 설정
- 로컬 머신에 Cloud Run 함수 배포를 위한 새 디렉터리를 만듭니다.
- Chronicle 수집 스크립트 GitHub 저장소에서 다음 파일을 다운로드합니다.
- slack 폴더에서 다음을 다운로드합니다.
.env.ymlmain.pyrequirements.txt
- 저장소의 루트에서 모든 파일이 포함된 전체 common 디렉터리를 다운로드합니다.
common/__init__.pycommon/auth.pycommon/env_constants.pycommon/ingest.pycommon/status.pycommon/utils.py
- slack 폴더에서 다음을 다운로드합니다.
- 다운로드한 모든 파일을 배포 디렉터리에 배치합니다.
디렉터리 구조는 다음과 같습니다.
deployment_directory/ ├─common/ │ ├─__init__.py │ ├─auth.py │ ├─env_constants.py │ ├─ingest.py │ ├─status.py │ └─utils.py ├─.env.yml ├─main.py └─requirements.txt
Google Secret Manager에서 보안 비밀 만들기
- Google Cloud 콘솔에서 보안 > Secret Manager로 이동합니다.
- 보안 비밀 만들기를 클릭합니다.
- Chronicle 서비스 계정에 다음 구성 세부정보를 제공합니다.
- 이름:
chronicle-service-account를 입력합니다. - 보안 비밀 값: Google SecOps 수집 인증 JSON 파일의 내용을 붙여넣습니다.
- 이름:
- 보안 비밀 만들기를 클릭합니다.
projects/<PROJECT_ID>/secrets/chronicle-service-account/versions/latest형식으로 보안 비밀 리소스 이름을 복사합니다.- 보안 비밀 만들기를 다시 클릭하여 두 번째 보안 비밀을 만듭니다.
- Slack 토큰에 대해 다음 구성 세부정보를 제공합니다.
- 이름:
slack-admin-token를 입력합니다. - 보안 비밀 값: Slack 사용자 OAuth 토큰 (
xoxp-로 시작)을 붙여넣습니다.
- 이름:
- 보안 비밀 만들기를 클릭합니다.
projects/<PROJECT_ID>/secrets/slack-admin-token/versions/latest형식으로 보안 비밀 리소스 이름을 복사합니다.
필수 런타임 환경 변수 설정
- 배포 디렉터리에서
.env.yml파일을 엽니다. 환경 변수를 값으로 구성합니다.
CHRONICLE_CUSTOMER_ID: "<your-chronicle-customer-id>" CHRONICLE_REGION: us CHRONICLE_SERVICE_ACCOUNT: "projects/<PROJECT_ID>/secrets/chronicle-service-account/versions/latest" CHRONICLE_NAMESPACE: "" POLL_INTERVAL: "5" SLACK_ADMIN_TOKEN: "projects/<PROJECT_ID>/secrets/slack-admin-token/versions/latest"- 다음을 바꿉니다.
<your-chronicle-customer-id>: Google SecOps 고객 ID입니다.<PROJECT_ID>: Google Cloud 프로젝트 ID입니다.- CHRONICLE_REGION: Google SecOps 리전으로 설정합니다. 유효한 값:
us,asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2,southamerica-east1. - POLL_INTERVAL: 함수가 실행되는 빈도 간격 (분)입니다. 이 기간은 Cloud Scheduler 작업 간격과 동일해야 합니다.
- 다음을 바꿉니다.
.env.yml파일을 저장합니다.
Cloud Run 함수 배포
- Google Cloud 콘솔에서 터미널 또는 Cloud Shell을 엽니다.
배포 디렉터리로 이동합니다.
cd /path/to/deployment_directory다음 명령어를 실행하여 Cloud Run 함수를 배포합니다.
gcloud functions deploy slack-audit-to-chronicle \ --entry-point main \ --trigger-http \ --runtime python39 \ --env-vars-file .env.yml \ --timeout 300s \ --memory 512MB \ --service-account <SERVICE_ACCOUNT_EMAIL><SERVICE_ACCOUNT_EMAIL>을 Cloud Run 함수에서 사용할 서비스 계정의 이메일 주소로 바꿉니다.
배포가 완료될 때까지 기다립니다.
배포가 완료되면 출력에서 함수 URL을 기록해 둡니다.
Cloud Scheduler 설정
- Google Cloud 콘솔에서 Cloud Scheduler > 작업 만들기로 이동합니다.
- 다음 구성 세부정보를 제공합니다.
- 이름:
slack-audit-scheduler를 입력합니다. - 리전: Cloud Run 함수를 배포한 동일한 리전을 선택합니다.
- 빈도:
*/5 * * * *를 입력합니다 (POLL_INTERVAL값과 일치하는 5분마다 실행됨). - 시간대: UTC를 선택합니다.
- 대상 유형: HTTP를 선택합니다.
- URL: 배포 출력에서 Cloud Run 함수 URL을 입력합니다.
- HTTP 메서드: POST를 선택합니다.
- 인증 헤더: OIDC 토큰 추가를 선택합니다.
- 서비스 계정: Cloud Run 함수에 사용된 것과 동일한 서비스 계정을 선택합니다.
- 이름:
- 만들기를 클릭합니다.
옵션 2: AWS S3를 사용하여 Slack 감사 로그 내보내기 구성
이 옵션은 AWS Lambda를 사용하여 Slack 감사 로그를 수집하고 S3에 저장한 다음 로그를 수집하도록 Google SecOps 피드를 구성합니다.
Google SecOps용 AWS S3 버킷 및 IAM 구성
- 이 사용자 가이드(버킷 만들기)에 따라 Amazon S3 버킷을 만듭니다.
- 나중에 참조할 수 있도록 버킷 이름과 리전을 저장합니다(예:
slack-audit-logs). - 보안용 사용자 인증 정보 탭을 선택합니다.
- 액세스 키 섹션에서 액세스 키 만들기를 클릭합니다.
- 사용 사례로 서드 파티 서비스를 선택합니다.
- 다음을 클릭합니다.
- 선택사항: 설명 태그를 추가합니다.
- 액세스 키 만들기를 클릭합니다.
- CSV 파일 다운로드를 클릭하여 나중에 사용할 수 있도록 액세스 키와 보안 비밀 액세스 키를 저장합니다.
- 완료를 클릭합니다.
- 권한 탭을 선택합니다.
- 권한 정책 섹션에서 권한 추가를 클릭합니다 .
- 권한 추가를 선택합니다.
- 정책 직접 연결을 선택합니다.
- AmazonS3FullAccess 정책을 검색하여 선택합니다.
- 다음을 클릭합니다.
- 권한 추가를 클릭합니다.
S3 업로드용 IAM 정책 및 역할 구성
- AWS 콘솔에서 IAM > 정책 > 정책 만들기 > JSON 탭으로 이동합니다.
다음 정책을 복사하여 붙여넣습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObjects", "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::slack-audit-logs/*" }, { "Sid": "AllowGetStateObject", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::slack-audit-logs/slack/audit/state.json" } ] }- 다른 버킷 이름을 입력한 경우
slack-audit-logs을 바꿉니다.
- 다른 버킷 이름을 입력한 경우
다음을 클릭합니다.
정책 이름
SlackAuditS3Policy를 입력합니다.정책 만들기를 클릭합니다.
IAM > 역할 > 역할 생성 > AWS 서비스 > Lambda로 이동합니다.
새로 만든 정책
SlackAuditS3Policy을 연결합니다.역할 이름을
SlackAuditToS3Role로 지정하고 역할 만들기를 클릭합니다.
Lambda 함수 만들기
- AWS 콘솔에서 Lambda > 함수 > 함수 만들기로 이동합니다.
- 처음부터 작성을 클릭합니다.
다음 구성 세부정보를 제공합니다.
설정 값 이름 slack_audit_to_s3런타임 Python 3.13 아키텍처 x86_64 실행 역할 SlackAuditToS3Role함수 만들기를 클릭합니다.
함수를 만든 후 코드 탭을 열고 스텁을 삭제하고 다음 코드를 입력합니다 (
slack_audit_to_s3.py).#!/usr/bin/env python3 # Lambda: Pull Slack Audit Logs (Enterprise Grid) to S3 (no transform) import os, json, time, urllib.parse from urllib.request import Request, urlopen from urllib.error import HTTPError, URLError import boto3 BASE_URL = "https://api.slack.com/audit/v1/logs" TOKEN = os.environ["SLACK_AUDIT_TOKEN"] # org-level user token with auditlogs:read BUCKET = os.environ["S3_BUCKET"] PREFIX = os.environ.get("S3_PREFIX", "slack/audit/") STATE_KEY = os.environ.get("STATE_KEY", "slack/audit/state.json") LIMIT = int(os.environ.get("LIMIT", "200")) # Slack recommends <= 200 MAX_PAGES = int(os.environ.get("MAX_PAGES", "20")) LOOKBACK_SEC = int(os.environ.get("LOOKBACK_SECONDS", "3600")) # First-run window HTTP_TIMEOUT = int(os.environ.get("HTTP_TIMEOUT", "60")) HTTP_RETRIES = int(os.environ.get("HTTP_RETRIES", "3")) RETRY_AFTER_DEFAULT = int(os.environ.get("RETRY_AFTER_DEFAULT", "2")) # Optional server-side filters (comma-separated "action" values), empty means no filter ACTIONS = os.environ.get("ACTIONS", "").strip() s3 = boto3.client("s3") def _get_state() -> dict: try: obj = s3.get_object(Bucket=BUCKET, Key=STATE_KEY) st = json.loads(obj["Body"].read() or b"{}") return {"cursor": st.get("cursor")} except Exception: return {"cursor": None} def _put_state(state: dict) -> None: body = json.dumps(state, separators=(",", ":")).encode("utf-8") s3.put_object(Bucket=BUCKET, Key=STATE_KEY, Body=body, ContentType="application/json") def _http_get(params: dict) -> dict: qs = urllib.parse.urlencode(params, doseq=True) url = f"{BASE_URL}?{qs}" if qs else BASE_URL req = Request(url, method="GET") req.add_header("Authorization", f"Bearer {TOKEN}") req.add_header("Accept", "application/json") attempt = 0 while True: try: with urlopen(req, timeout=HTTP_TIMEOUT) as r: return json.loads(r.read().decode("utf-8")) except HTTPError as e: # Respect Retry-After on 429/5xx if e.code in (429, 500, 502, 503, 504) and attempt < HTTP_RETRIES: retry_after = 0 try: retry_after = int(e.headers.get("Retry-After", RETRY_AFTER_DEFAULT)) except Exception: retry_after = RETRY_AFTER_DEFAULT time.sleep(max(1, retry_after)) attempt += 1 continue # Re-raise other HTTP errors raise except URLError: if attempt < HTTP_RETRIES: time.sleep(RETRY_AFTER_DEFAULT) attempt += 1 continue raise def _write_page(payload: dict, page_idx: int) -> str: ts = time.strftime("%Y/%m/%d/%H%M%S", time.gmtime()) key = f"{PREFIX}{ts}-slack-audit-p{page_idx:05d}.json" body = json.dumps(payload, separators=(",", ":")).encode("utf-8") s3.put_object(Bucket=BUCKET, Key=key, Body=body, ContentType="application/json") return key def lambda_handler(event=None, context=None): state = _get_state() cursor = state.get("cursor") params = {"limit": LIMIT} if ACTIONS: params["action"] = [a.strip() for a in ACTIONS.split(",") if a.strip()] if cursor: params["cursor"] = cursor else: # First run (or reset): fetch a recent window by time params["oldest"] = int(time.time()) - LOOKBACK_SEC pages = 0 total = 0 last_cursor = None while pages < MAX_PAGES: data = _http_get(params) _write_page(data, pages) entries = data.get("entries") or [] total += len(entries) # Cursor for next page meta = data.get("response_metadata") or {} next_cursor = meta.get("next_cursor") or data.get("next_cursor") if next_cursor: params = {"limit": LIMIT, "cursor": next_cursor} if ACTIONS: params["action"] = [a.strip() for a in ACTIONS.split(",") if a.strip()] last_cursor = next_cursor pages += 1 continue break if last_cursor: _put_state({"cursor": last_cursor}) return {"ok": True, "pages": pages + (1 if total or last_cursor else 0), "entries": total, "cursor": last_cursor} if __name__ == "__main__": print(lambda_handler())구성 > 환경 변수 > 수정 > 환경 변수 추가로 이동합니다.
다음 환경 변수를 입력하고 값으로 바꿉니다.
키 예시 값 S3_BUCKETslack-audit-logsS3_PREFIXslack/audit/STATE_KEYslack/audit/state.jsonSLACK_AUDIT_TOKENxoxp-***(auditlogs:read이 있는 조직 수준 사용자 토큰)LIMIT200MAX_PAGES20LOOKBACK_SECONDS3600HTTP_TIMEOUT60HTTP_RETRIES3RETRY_AFTER_DEFAULT2ACTIONS(선택사항, CSV) user_login,app_installed저장을 클릭합니다.
구성 탭을 선택합니다.
일반 구성 패널에서 수정을 클릭합니다.
제한 시간을 5분 (300초)로 변경하고 저장을 클릭합니다.
EventBridge 일정 만들기
- Amazon EventBridge > 스케줄러 > 일정 만들기로 이동합니다.
- 다음 구성 세부정보를 제공합니다.
- 이름:
slack-audit-1h를 입력합니다. - 반복 일정: 요금 기반 일정을 선택합니다.
- 요율 표현식:
1시간을 입력합니다. - 유연한 시간대: 사용 안함을 선택합니다.
- 이름:
- 다음을 클릭합니다.
- 타겟을 선택합니다.
- 타겟 API: AWS Lambda 호출을 선택합니다.
- Lambda 함수:
slack_audit_to_s3를 선택합니다.
- 다음을 클릭합니다.
- 다음을 클릭합니다 (선택적 설정은 건너뜁니다).
- 검토한 후 일정 만들기를 클릭합니다.
선택사항: Google SecOps용 읽기 전용 IAM 사용자 및 키 만들기
- AWS 콘솔 > IAM > 사용자 > 사용자 추가로 이동합니다.
- 사용자 추가를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 사용자:
secops-reader를 입력합니다. - 액세스 유형: 액세스 키 – 프로그래매틱 액세스를 선택합니다.
- 사용자:
- 사용자 만들기를 클릭합니다.
- 최소 읽기 정책(맞춤) 연결: 사용자 > secops-reader > 권한 > 권한 추가 > 정책 직접 연결 > 정책 만들기
JSON 편집기에 다음 정책을 입력합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": "arn:aws:s3:::slack-audit-logs/*" }, { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": "arn:aws:s3:::slack-audit-logs" } ] }다음을 클릭합니다.
정책 이름
secops-reader-policy를 입력합니다.정책 만들기를 클릭합니다.
사용자 생성 페이지로 돌아가서 정책 목록을 새로고침하고
secops-reader-policy를 선택합니다.다음을 클릭합니다.
사용자 만들기를 클릭합니다.
생성된 사용자
secops-reader을 선택합니다.보안용 사용자 인증 정보> 액세스 키> 액세스 키 만들기로 이동합니다.
서드 파티 서비스를 선택합니다.
다음을 클릭합니다.
액세스 키 만들기를 클릭합니다.
.csv 파일 다운로드를 클릭하여 사용자 인증 정보를 저장합니다.
Slack 감사 로그를 수집하도록 Google SecOps에서 피드 구성
- SIEM 설정> 피드로 이동합니다.
- 새로 추가를 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다(예:
Slack Audit Logs). - 소스 유형으로 Amazon S3 V2를 선택합니다.
- 로그 유형으로 Slack 감사를 선택합니다.
- 다음을 클릭합니다.
- 다음 입력 파라미터의 값을 지정합니다.
- S3 URI:
s3://slack-audit-logs/slack/audit/ - 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
- 최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.
- 액세스 키 ID: S3 버킷에 대한 액세스 권한이 있는 사용자 액세스 키 (
secops-reader에서 가져옴) - 보안 비밀 액세스 키: S3 버킷에 액세스할 수 있는 사용자 보안 비밀 키 (
secops-reader에서 가져옴) - 애셋 네임스페이스: 애셋 네임스페이스입니다.
- 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.
- S3 URI:
- 다음을 클릭합니다.
- 확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
action |
metadata.product_event_type |
원시 로그의 action 필드에서 직접 매핑됩니다. |
actor.type |
principal.labels.value |
actor.type 필드에서 직접 매핑되며 키 actor.type가 추가됩니다. |
actor.user.email |
principal.user.email_addresses |
actor.user.email 필드에서 직접 매핑됩니다. |
actor.user.id |
principal.user.product_object_id |
actor.user.id 필드에서 직접 매핑됩니다. |
actor.user.id |
principal.user.userid |
actor.user.id 필드에서 직접 매핑됩니다. |
actor.user.name |
principal.user.user_display_name |
actor.user.name 필드에서 직접 매핑됩니다. |
actor.user.team |
principal.user.group_identifiers |
actor.user.team 필드에서 직접 매핑됩니다. |
context.ip_address |
principal.ip |
context.ip_address 필드에서 직접 매핑됩니다. |
context.location.domain |
about.resource.attribute.labels.value |
context.location.domain 필드에서 직접 매핑되며 키 context.location.domain가 추가됩니다. |
context.location.id |
about.resource.id |
context.location.id 필드에서 직접 매핑됩니다. |
context.location.name |
about.resource.name |
context.location.name 필드에서 직접 매핑됩니다. |
context.location.name |
about.resource.attribute.labels.value |
context.location.name 필드에서 직접 매핑되며 키 context.location.name가 추가됩니다. |
context.location.type |
about.resource.resource_subtype |
context.location.type 필드에서 직접 매핑됩니다. |
context.session_id |
network.session_id |
context.session_id 필드에서 직접 매핑됩니다. |
context.ua |
network.http.user_agent |
context.ua 필드에서 직접 매핑됩니다. |
context.ua |
network.http.parsed_user_agent |
parseduseragent 필터를 사용하여 context.ua 필드에서 파싱된 사용자 에이전트 정보입니다. |
country |
principal.location.country_or_region |
country 필드에서 직접 매핑됩니다. |
date_create |
metadata.event_timestamp.seconds |
date_create 필드의 에포크 타임스탬프가 타임스탬프 객체로 변환됩니다. |
details.inviter.email |
target.user.email_addresses |
details.inviter.email 필드에서 직접 매핑됩니다. |
details.inviter.id |
target.user.product_object_id |
details.inviter.id 필드에서 직접 매핑됩니다. |
details.inviter.name |
target.user.user_display_name |
details.inviter.name 필드에서 직접 매핑됩니다. |
details.inviter.team |
target.user.group_identifiers |
details.inviter.team 필드에서 직접 매핑됩니다. |
details.reason |
security_result.description |
details.reason 필드에서 직접 매핑되거나 배열인 경우 쉼표로 연결됩니다. |
details.type |
about.resource.attribute.labels.value |
details.type 필드에서 직접 매핑되며 키 details.type가 추가됩니다. |
details.type |
security_result.summary |
details.type 필드에서 직접 매핑됩니다. |
entity.app.id |
target.resource.id |
entity.app.id 필드에서 직접 매핑됩니다. |
entity.app.name |
target.resource.name |
entity.app.name 필드에서 직접 매핑됩니다. |
entity.channel.id |
target.resource.id |
entity.channel.id 필드에서 직접 매핑됩니다. |
entity.channel.name |
target.resource.name |
entity.channel.name 필드에서 직접 매핑됩니다. |
entity.channel.privacy |
target.resource.attribute.labels.value |
entity.channel.privacy 필드에서 직접 매핑되며 키 entity.channel.privacy가 추가됩니다. |
entity.file.filetype |
target.resource.attribute.labels.value |
entity.file.filetype 필드에서 직접 매핑되며 키 entity.file.filetype가 추가됩니다. |
entity.file.id |
target.resource.id |
entity.file.id 필드에서 직접 매핑됩니다. |
entity.file.name |
target.resource.name |
entity.file.name 필드에서 직접 매핑됩니다. |
entity.file.title |
target.resource.attribute.labels.value |
entity.file.title 필드에서 직접 매핑되며 키 entity.file.title가 추가됩니다. |
entity.huddle.date_end |
about.resource.attribute.labels.value |
entity.huddle.date_end 필드에서 직접 매핑되며 키 entity.huddle.date_end가 추가됩니다. |
entity.huddle.date_start |
about.resource.attribute.labels.value |
entity.huddle.date_start 필드에서 직접 매핑되며 키 entity.huddle.date_start가 추가됩니다. |
entity.huddle.id |
about.resource.attribute.labels.value |
entity.huddle.id 필드에서 직접 매핑되며 키 entity.huddle.id가 추가됩니다. |
entity.huddle.participants.0 |
about.resource.attribute.labels.value |
entity.huddle.participants.0 필드에서 직접 매핑되며 키 entity.huddle.participants.0가 추가됩니다. |
entity.huddle.participants.1 |
about.resource.attribute.labels.value |
entity.huddle.participants.1 필드에서 직접 매핑되며 키 entity.huddle.participants.1가 추가됩니다. |
entity.type |
target.resource.resource_subtype |
entity.type 필드에서 직접 매핑됩니다. |
entity.user.email |
target.user.email_addresses |
entity.user.email 필드에서 직접 매핑됩니다. |
entity.user.id |
target.user.product_object_id |
entity.user.id 필드에서 직접 매핑됩니다. |
entity.user.name |
target.user.user_display_name |
entity.user.name 필드에서 직접 매핑됩니다. |
entity.user.team |
target.user.group_identifiers |
entity.user.team 필드에서 직접 매핑됩니다. |
entity.workflow.id |
target.resource.id |
entity.workflow.id 필드에서 직접 매핑됩니다. |
entity.workflow.name |
target.resource.name |
entity.workflow.name 필드에서 직접 매핑됩니다. |
id |
metadata.product_log_id |
id 필드에서 직접 매핑됩니다. |
ip |
principal.ip |
ip 필드에서 직접 매핑됩니다. action 필드에 기반한 로직에 따라 결정됩니다. 기본값은 USER_COMMUNICATION이지만 action 값에 따라 USER_CREATION, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_RESOURCE_UPDATE_PERMISSIONS, USER_CHANGE_PERMISSIONS와 같은 다른 값으로 변경됩니다. 'SLACK_AUDIT'으로 하드코딩됩니다. date_create가 있는 경우 'Enterprise Grid'로 설정하고, 그렇지 않고 user_id가 있는 경우 '감사 로그'로 설정합니다. 'Slack'으로 하드코딩됨 'REMOTE'로 하드코딩됩니다. action에 'user_login' 또는 'user_logout'이 포함된 경우 'SSO'로 설정됩니다. 그 외의 경우 'MACHINE'으로 설정합니다. 제공된 예시에서 매핑되지 않았습니다. 기본값은 'ALLOW'이지만 action이 'user_login_failed'인 경우 'BLOCK'으로 설정됩니다. date_create이 있으면 'Slack'으로 설정하고, 그렇지 않고 user_id이 있으면 'SLACK'으로 설정합니다. |
user_agent |
network.http.user_agent |
user_agent 필드에서 직접 매핑됩니다. |
user_id |
principal.user.product_object_id |
user_id 필드에서 직접 매핑됩니다. |
username |
principal.user.product_object_id |
username 필드에서 직접 매핑됩니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.