Symantec Web Security Service (WSS) 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Google Cloud Storage를 사용하여 Symantec Web Security Service (WSS) 로그를 Google Security Operations로 수집하는 방법을 설명합니다. 파서는 먼저 로그 메시지를 JSON으로 파싱하려고 시도합니다. 이 과정이 실패하면 점점 더 구체적인 일련의 Grok 패턴을 사용하여 원시 텍스트에서 필드를 추출하고 추출된 데이터를 통합 데이터 모델 (UDM)에 매핑합니다. Symantec Web Security Service (WSS)는 멀웨어, 피싱, 데이터 손실을 비롯한 웹 기반 위협으로부터 실시간 보호를 제공하는 클라우드 기반 웹 보안 솔루션입니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Cloud Storage API가 사용 설정된 GCP 프로젝트
- GCS 버킷을 만들고 관리할 수 있는 권한
- GCS 버킷의 IAM 정책을 관리할 수 있는 권한
- Cloud Run 서비스, Pub/Sub 주제, Cloud Scheduler 작업을 만들 수 있는 권한
- Symantec Web Security Service 포털에 대한 권한 있는 액세스
Symantec WSS API 사용자 인증 정보 수집
Symantec WSS 사이트 URL 가져오기
- Symantec Web Security Service 포털에 로그인합니다.
- 브라우저 주소 표시줄에서 포털 URL을 확인합니다.
- 형식:
https://portal.threatpulse.com또는 조직별 URL - 예:
https://portal.threatpulse.com/reportpod에서 WSS에 액세스하는 경우 사이트 URL은https://portal.threatpulse.com입니다.
- 형식:
API 사용자 인증 정보 만들기
- 관리자로 Symantec Web Security Service Portal에 로그인합니다.
- 계정> API 사용자 인증 정보로 이동합니다.
- API 사용자 인증 정보 추가를 클릭합니다.
- 포털에 자동 생성된 사용자 이름과 비밀번호가 있는 API 사용자 인증 정보 추가 대화상자가 표시됩니다.
사용자 이름과 비밀번호를 복사하여 안전하게 저장합니다.
API 만료 옵션을 선택합니다.
- 시간 기반: 이 토큰이 만료되는 날짜와 시간을 정의합니다.
- 만료되지 않음: 토큰이 무기한 유효한 상태로 유지됩니다 (프로덕션에 권장됨).
액세스 옵션에서 보고 액세스 로그를 선택합니다.
저장을 클릭합니다.
권한 확인
계정에 필요한 권한이 있는지 확인하려면 다음 단계를 따르세요.
- Symantec Web Security Service Portal에 로그인합니다.
- 계정> API 사용자 인증 정보로 이동합니다.
- 액세스가 보고 액세스 로그로 설정된 API 사용자 인증 정보가 표시되면 필요한 권한이 있는 것입니다.
- 이 옵션이 표시되지 않으면 관리자에게 문의하여 보고 액세스 로그 권한을 부여받으세요.
API 액세스 테스트
통합을 진행하기 전에 사용자 인증 정보를 테스트하세요.
# Replace with your actual credentials WSS_USERNAME="your-api-username" WSS_PASSWORD="your-api-password" WSS_SYNC_URL="https://portal.threatpulse.com/reportpod/logs/sync" # Test API access (note: sync endpoint requires time parameters) curl -v -H "X-APIUsername: ${WSS_USERNAME}" \ -H "X-APIPassword: ${WSS_PASSWORD}" \ "${WSS_SYNC_URL}?startDate=0&endDate=1000&token=none"
예상 응답: 로그 데이터가 포함된 HTTP 200 또는 시간 범위에 로그가 없는 경우 빈 응답
Google Cloud Storage 버킷 만들기
- Google Cloud Console로 이동합니다.
- 프로젝트를 선택하거나 새 프로젝트를 만듭니다.
- 탐색 메뉴에서 Cloud Storage> 버킷으로 이동합니다.
- 버킷 만들기를 클릭합니다.
다음 구성 세부정보를 제공합니다.
설정 값 버킷 이름 지정 전역적으로 고유한 이름 (예: symantec-wss-logs)을 입력합니다.위치 유형 필요에 따라 선택 (리전, 이중 리전, 멀티 리전) 위치 위치를 선택합니다 (예: us-central1).스토리지 클래스 Standard (자주 액세스하는 로그에 권장) 액세스 제어 균일 (권장) 보호 도구 선택사항: 객체 버전 관리 또는 보관 정책 사용 설정 만들기를 클릭합니다.
Cloud Run 함수의 서비스 계정 만들기
Cloud Run 함수에는 GCS 버킷에 쓸 수 있고 Pub/Sub에서 호출할 수 있는 권한이 있는 서비스 계정이 필요합니다.
서비스 계정 만들기
- GCP 콘솔에서 IAM 및 관리자 > 서비스 계정으로 이동합니다.
- 서비스 계정 만들기를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 서비스 계정 이름:
symantec-wss-collector-sa을 입력합니다. - 서비스 계정 설명:
Service account for Cloud Run function to collect Symantec WSS logs을 입력합니다.
- 서비스 계정 이름:
- 만들고 계속하기를 클릭합니다.
- 이 서비스 계정에 프로젝트에 대한 액세스 권한 부여 섹션에서 다음 역할을 추가합니다.
- 역할 선택을 클릭합니다.
- 스토리지 객체 관리자를 검색하여 선택합니다.
- + 다른 역할 추가를 클릭합니다.
- Cloud Run 호출자를 검색하여 선택합니다.
- + 다른 역할 추가를 클릭합니다.
- Cloud Functions 호출자를 검색하여 선택합니다.
- 계속을 클릭합니다.
- 완료를 클릭합니다.
이러한 역할은 다음 작업에 필요합니다.
- 스토리지 객체 관리자: GCS 버킷에 로그를 쓰고 상태 파일을 관리합니다.
- Cloud Run 호출자: Pub/Sub가 함수를 호출하도록 허용
- Cloud Functions 호출자: 함수 호출 허용
GCS 버킷에 대한 IAM 권한 부여
GCS 버킷에 대한 쓰기 권한을 서비스 계정에 부여합니다.
- Cloud Storage> 버킷으로 이동합니다.
- 버킷 이름을 클릭합니다.
- 권한 탭으로 이동합니다.
- 액세스 권한 부여를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 주 구성원 추가: 서비스 계정 이메일 (예:
symantec-wss-collector-sa@PROJECT_ID.iam.gserviceaccount.com)을 입력합니다. - 역할 할당: 스토리지 객체 관리자를 선택합니다.
- 주 구성원 추가: 서비스 계정 이메일 (예:
- 저장을 클릭합니다.
게시/구독 주제 만들기
Cloud Scheduler가 게시하고 Cloud Run 함수가 구독할 Pub/Sub 주제를 만듭니다.
- GCP Console에서 Pub/Sub > 주제로 이동합니다.
- 주제 만들기를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 주제 ID:
symantec-wss-trigger를 입력합니다. - 다른 설정은 기본값으로 둡니다.
- 주제 ID:
- 만들기를 클릭합니다.
로그를 수집하는 Cloud Run 함수 만들기
Cloud Run 함수는 Cloud Scheduler의 Pub/Sub 메시지에 의해 트리거되어 Symantec WSS Sync API에서 로그를 가져오고 이를 GCS에 씁니다.
- GCP 콘솔에서 Cloud Run으로 이동합니다.
- 서비스 만들기를 클릭합니다.
- 함수를 선택합니다 (인라인 편집기를 사용하여 함수 만들기).
구성 섹션에서 다음 구성 세부정보를 제공합니다.
설정 값 서비스 이름 symantec-wss-collector리전 GCS 버킷과 일치하는 리전을 선택합니다 (예: us-central1).런타임 Python 3.12 이상 선택 트리거 (선택사항) 섹션에서 다음을 수행합니다.
- + 트리거 추가를 클릭합니다.
- Cloud Pub/Sub를 선택합니다.
- Cloud Pub/Sub 주제 선택에서 Pub/Sub 주제 (
symantec-wss-trigger)를 선택합니다. - 저장을 클릭합니다.
인증 섹션에서 다음을 구성합니다.
- 인증 필요를 선택합니다.
- ID 및 액세스 관리 (IAM)를 확인합니다.
아래로 스크롤하고 컨테이너, 네트워킹, 보안을 펼칩니다.
보안 탭으로 이동합니다.
- 서비스 계정: 서비스 계정 (
symantec-wss-collector-sa)을 선택합니다.
- 서비스 계정: 서비스 계정 (
컨테이너 탭으로 이동합니다.
- 변수 및 보안 비밀을 클릭합니다.
- 각 환경 변수에 대해 + 변수 추가를 클릭합니다.
변수 이름 예시 값 설명 GCS_BUCKETsymantec-wss-logsGCS 버킷 이름 GCS_PREFIXsymantec/wss/로그 파일의 접두사 STATE_KEYsymantec/wss/state.json상태 파일 경로 WINDOW_SECONDS3600시간 범위(초)(1시간) HTTP_TIMEOUT60HTTP 요청 제한 시간(초) MAX_RETRIES3최대 재시도 횟수 USER_AGENTsymantec-wss-to-gcs/1.0사용자 에이전트 문자열 WSS_SYNC_URLhttps://portal.threatpulse.com/reportpod/logs/syncWSS 동기화 API 엔드포인트 WSS_API_USERNAMEyour-api-username(API 사용자 인증 정보에서)WSS API 사용자 이름 WSS_API_PASSWORDyour-api-password(API 사용자 인증 정보에서)WSS API 비밀번호 WSS_TOKEN_PARAMnone동기화 API의 토큰 매개변수 변수 및 보안 비밀 섹션에서 요청으로 스크롤합니다.
- 요청 제한 시간:
600초 (10분)를 입력합니다.
- 요청 제한 시간:
설정 탭으로 이동합니다.
- 리소스 섹션에서 다음을 수행합니다.
- 메모리: 512MiB 이상을 선택합니다.
- CPU: 1을 선택합니다.
- 리소스 섹션에서 다음을 수행합니다.
버전 확장 섹션에서 다음을 수행합니다.
- 최소 인스턴스 수:
0를 입력합니다. - 최대 인스턴스 수:
100을 입력합니다 (또는 예상 부하에 따라 조정).
- 최소 인스턴스 수:
만들기를 클릭합니다.
서비스가 생성될 때까지 기다립니다 (1~2분).
서비스가 생성되면 인라인 코드 편집기가 자동으로 열립니다.
함수 코드 추가
- 함수 진입점에 main을 입력합니다.
인라인 코드 편집기에서 다음 두 파일을 만듭니다.
- 첫 번째 파일: main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone import uuid import time # Initialize HTTP client with timeouts http = urllib3.PoolManager( timeout=urllib3.Timeout(connect=5.0, read=60.0), retries=False, ) # Initialize Storage client storage_client = storage.Client() @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch logs from Symantec WSS Sync API and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ # Get environment variables bucket_name = os.environ.get('GCS_BUCKET') prefix = os.environ.get('GCS_PREFIX', 'symantec/wss/') state_key = os.environ.get('STATE_KEY', 'symantec/wss/state.json') window_sec = int(os.environ.get('WINDOW_SECONDS', '3600')) http_timeout = int(os.environ.get('HTTP_TIMEOUT', '60')) max_retries = int(os.environ.get('MAX_RETRIES', '3')) user_agent = os.environ.get('USER_AGENT', 'symantec-wss-to-gcs/1.0') wss_sync_url = os.environ.get('WSS_SYNC_URL', 'https://portal.threatpulse.com/reportpod/logs/sync') api_username = os.environ.get('WSS_API_USERNAME') api_password = os.environ.get('WSS_API_PASSWORD') token_param = os.environ.get('WSS_TOKEN_PARAM', 'none') if not all([bucket_name, api_username, api_password]): print('Error: Missing required environment variables') return try: # Get GCS bucket bucket = storage_client.bucket(bucket_name) # Load state (last processed timestamp) state = load_state(bucket, state_key) now = datetime.now(timezone.utc).timestamp() from_ts = float(state.get('last_to_ts', now - window_sec)) to_ts = now # Convert to milliseconds for WSS API start_ms = int(from_ts * 1000) end_ms = int(to_ts * 1000) print(f'Fetching Symantec WSS logs from {start_ms} to {end_ms}') # Fetch logs from WSS Sync API blob_data, content_type, content_encoding = fetch_wss_logs( wss_sync_url, api_username, api_password, token_param, start_ms, end_ms, user_agent, http_timeout, max_retries ) print(f'Retrieved {len(blob_data)} bytes with content-type: {content_type}') if content_encoding: print(f'Content encoding: {content_encoding}') # Write to GCS if blob_data: blob_name = write_wss_data( bucket, prefix, blob_data, content_type, content_encoding, from_ts, to_ts ) print(f'Wrote logs to {blob_name}') # Update state save_state(bucket, state_key, { 'last_to_ts': to_ts, 'last_successful_run': now }) print(f'Successfully processed logs up to {to_ts}') except Exception as e: print(f'Error processing logs: {str(e)}') raise def load_state(bucket, key): """Load state from GCS.""" try: blob = bucket.blob(key) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) except Exception as e: print(f'Warning: Could not load state: {str(e)}') return {} def save_state(bucket, key, state): """Save state to GCS.""" try: blob = bucket.blob(key) blob.upload_from_string( json.dumps(state, separators=(',', ':')), content_type='application/json' ) except Exception as e: print(f'Warning: Could not save state: {str(e)}') def fetch_wss_logs(sync_url, username, password, token, start_ms, end_ms, user_agent, timeout, max_retries): """Fetch logs from WSS Sync API with retry logic using custom HTTP headers.""" params = f"startDate={start_ms}&endDate={end_ms}&token={token}" url = f"{sync_url}?{params}" attempt = 0 backoff = 1.0 while True: try: headers = { 'User-Agent': user_agent, 'X-APIUsername': username, 'X-APIPassword': password } response = http.request('GET', url, headers=headers, timeout=timeout) # Handle rate limiting with exponential backoff if response.status == 429: retry_after = int(response.headers.get('Retry-After', str(int(backoff)))) print(f'Rate limited (429). Retrying after {retry_after}s...') time.sleep(retry_after) backoff = min(backoff * 2, 30.0) continue backoff = 1.0 if response.status == 200: content_type = response.headers.get('Content-Type', 'application/octet-stream') content_encoding = response.headers.get('Content-Encoding', '') return response.data, content_type, content_encoding else: raise Exception(f'HTTP {response.status}: {response.data.decode("utf-8", errors="ignore")}') except Exception as e: attempt += 1 print(f'HTTP error on attempt {attempt}: {e}') if attempt > max_retries: raise # Exponential backoff with jitter time.sleep(min(60, 2 ** attempt) + (time.time() % 1)) def determine_extension(content_type, content_encoding): """Determine file extension based on content type and encoding.""" if 'zip' in content_type.lower(): return '.zip' if 'gzip' in content_type.lower() or content_encoding.lower() == 'gzip': return '.gz' if 'json' in content_type.lower(): return '.json' if 'csv' in content_type.lower(): return '.csv' return '.bin' def write_wss_data(bucket, prefix, blob_data, content_type, content_encoding, from_ts, to_ts): """Write WSS data to GCS with unique key.""" ts_path = datetime.fromtimestamp(to_ts, tz=timezone.utc).strftime('%Y/%m/%d') uniq = f"{int(time.time() * 1e6)}_{uuid.uuid4().hex[:8]}" ext = determine_extension(content_type, content_encoding) blob_name = f"{prefix}{ts_path}/symantec_wss_{int(from_ts)}_{int(to_ts)}_{uniq}{ext}" blob = bucket.blob(blob_name) blob.upload_from_string( blob_data, content_type=content_type ) # Set metadata blob.metadata = { 'source': 'symantec-wss', 'from_timestamp': str(int(from_ts)), 'to_timestamp': str(int(to_ts)), 'content_encoding': content_encoding } blob.patch() return blob_name- 두 번째 파일: requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0배포를 클릭하여 함수를 저장하고 배포합니다.
배포가 완료될 때까지 기다립니다 (2~3분).
Cloud Scheduler 작업 만들기
Cloud Scheduler는 일정 간격으로 Pub/Sub 주제에 메시지를 게시하여 Cloud Run 함수를 트리거합니다.
- GCP Console에서 Cloud Scheduler로 이동합니다.
- 작업 만들기를 클릭합니다.
다음 구성 세부정보를 제공합니다.
설정 값 이름 symantec-wss-collector-hourly리전 Cloud Run 함수와 동일한 리전 선택 주파수 0 * * * *(매시간 정각)시간대 시간대 선택 (UTC 권장) 타겟 유형 Pub/Sub 주제 Pub/Sub 주제 ( symantec-wss-trigger)를 선택합니다.메일 본문 {}(빈 JSON 객체)만들기를 클릭합니다.
일정 빈도 옵션
로그 볼륨 및 지연 시간 요구사항에 따라 빈도를 선택합니다.
빈도 크론 표현식 사용 사례 5분마다 */5 * * * *대용량, 저지연 15분마다 */15 * * * *검색량 보통 1시간마다 0 * * * *일반(권장) 6시간마다 0 */6 * * *양이 적은 일괄 처리 매일 0 0 * * *이전 데이터 수집
통합 테스트
- Cloud Scheduler 콘솔에서 작업을 찾습니다.
- 강제 실행을 클릭하여 작업을 수동으로 트리거합니다.
- 몇 초 동안 기다립니다.
- Cloud Run > 서비스로 이동합니다.
- 함수 이름 (
symantec-wss-collector)을 클릭합니다. - 로그 탭을 클릭합니다.
함수가 성공적으로 실행되었는지 확인합니다. 다음을 확인하세요.
Fetching Symantec WSS logs from [start_ms] to [end_ms] Retrieved X bytes with content-type: [type] Wrote logs to symantec/wss/YYYY/MM/DD/symantec_wss_[timestamps].[ext] Successfully processed logs up to [timestamp]Cloud Storage> 버킷으로 이동합니다.
버킷 이름을 클릭합니다.
접두사 폴더 (
symantec/wss/)로 이동합니다.현재 타임스탬프로 새 파일이 생성되었는지 확인합니다.
로그에 오류가 표시되면 다음 단계를 따르세요.
- HTTP 401: 환경 변수에서 API 사용자 인증 정보를 확인합니다. 사용자 이름과 비밀번호가 올바른지 확인합니다.
- HTTP 403: WSS 포털에서 API 사용자 인증 정보에 '보고 액세스 로그' 권한이 사용 설정되어 있는지 확인합니다.
- HTTP 429: 비율 제한 - 함수가 백오프를 사용하여 자동으로 재시도됩니다.
- 환경 변수 누락: Cloud Run 함수 구성에 필요한 모든 변수가 설정되어 있는지 확인합니다.
Google SecOps 서비스 계정 가져오기
Google SecOps는 고유한 서비스 계정을 사용하여 GCS 버킷에서 데이터를 읽습니다. 이 서비스 계정에 버킷에 대한 액세스 권한을 부여해야 합니다.
서비스 계정 이메일 가져오기
- SIEM 설정> 피드로 이동합니다.
- 새 피드 추가를 클릭합니다.
- 단일 피드 구성을 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다(예:
Symantec WSS logs). - 소스 유형으로 Google Cloud Storage V2를 선택합니다.
- 로그 유형으로 Symantec WSS를 선택합니다.
서비스 계정 가져오기를 클릭합니다. 고유한 서비스 계정 이메일이 표시됩니다. 예를 들면 다음과 같습니다.
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com다음 단계에서 사용할 수 있도록 이 이메일 주소를 복사합니다.
Google SecOps 서비스 계정에 IAM 권한 부여
Google SecOps 서비스 계정에는 GCS 버킷에 대한 스토리지 객체 뷰어 역할이 필요합니다.
- Cloud Storage> 버킷으로 이동합니다.
- 버킷 이름을 클릭합니다.
- 권한 탭으로 이동합니다.
- 액세스 권한 부여를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 주 구성원 추가: Google SecOps 서비스 계정 이메일을 붙여넣습니다.
- 역할 할당: 스토리지 객체 뷰어를 선택합니다.
저장을 클릭합니다.
Symantec WSS 로그를 수집하도록 Google SecOps에서 피드 구성
- SIEM 설정> 피드로 이동합니다.
- 새 피드 추가를 클릭합니다.
- 단일 피드 구성을 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다(예:
Symantec WSS logs). - 소스 유형으로 Google Cloud Storage V2를 선택합니다.
- 로그 유형으로 Symantec WSS를 선택합니다.
- 다음을 클릭합니다.
다음 입력 매개변수의 값을 지정합니다.
스토리지 버킷 URL: 다음 접두사 경로를 사용하여 GCS 버킷 URI를 입력합니다.
gs://symantec-wss-logs/symantec/wss/다음과 같이 바꿉니다.
symantec-wss-logs: GCS 버킷 이름입니다.symantec/wss/: 로그가 저장되는 선택적 접두사/폴더 경로입니다 (루트의 경우 비워 둠).
예:
- 루트 버킷:
gs://company-logs/ - 접두사 사용:
gs://company-logs/symantec-wss/ - 하위 폴더 사용:
gs://company-logs/symantec/wss/
- 루트 버킷:
소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
- 삭제 안함: 전송 후 파일을 삭제하지 않습니다 (테스트에 권장).
- 전송된 파일 삭제: 전송이 완료되면 파일을 삭제합니다.
전송된 파일 및 빈 디렉터리 삭제: 전송이 완료되면 파일과 빈 디렉터리를 삭제합니다.
최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.
애셋 네임스페이스: 애셋 네임스페이스입니다.
수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
다음을 클릭합니다.
확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 로직 |
|---|---|---|
| category_id | read_only_udm.metadata.product_event_type | category_id가 1이면 read_only_udm.metadata.product_event_type이 Security로 설정됩니다. category_id가 5이면 read_only_udm.metadata.product_event_type이 Policy로 설정됩니다. |
| collector_device_ip | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | collector_device_ip 필드의 값 |
| connection.bytes_download | read_only_udm.network.received_bytes | connection.bytes_download 필드의 값이 정수로 변환됨 |
| connection.bytes_upload | read_only_udm.network.sent_bytes | connection.bytes_upload 필드의 값이 정수로 변환됨 |
| connection.dst_ip | read_only_udm.target.ip | connection.dst_ip 필드의 값 |
| connection.dst_location.country | read_only_udm.target.location.country_or_region | connection.dst_location.country 필드의 값 |
| connection.dst_name | read_only_udm.target.hostname | connection.dst_name 필드의 값 |
| connection.dst_port | read_only_udm.target.port | connection.dst_port 필드 값이 정수로 변환됨 |
| connection.http_status | read_only_udm.network.http.response_code | connection.http_status 필드 값이 정수로 변환됨 |
| connection.http_user_agent | read_only_udm.network.http.user_agent | connection.http_user_agent 필드의 값 |
| connection.src_ip | read_only_udm.principal.ip, read_only_udm.src.ip | connection.src_ip 필드의 값입니다. src_ip 또는 collector_device_ip가 비어 있지 않으면 read_only_udm.src.ip에 매핑됩니다. |
| connection.tls.version | read_only_udm.network.tls.version_protocol | connection.tls.version 필드의 값 |
| connection.url.host | read_only_udm.target.hostname | connection.url.host 필드의 값 |
| connection.url.method | read_only_udm.network.http.method | connection.url.method 필드의 값 |
| connection.url.path | read_only_udm.target.url | connection.url.path 필드의 값 |
| connection.url.text | read_only_udm.target.url | connection.url.text 필드의 값 |
| cs_connection_negotiated_cipher | read_only_udm.network.tls.cipher | cs_connection_negotiated_cipher 필드의 값 |
| cs_icap_status | read_only_udm.security_result.description | cs_icap_status 필드의 값 |
| device_id | read_only_udm.target.resource.id, read_only_udm.target.resource.product_object_id | device_id 필드의 값 |
| device_ip | read_only_udm.intermediary.ip, read_only_udm.intermediary.asset.ip | device_ip 필드의 값 |
| device_time | read_only_udm.metadata.collected_timestamp, read_only_udm.metadata.event_timestamp | device_time 필드의 값이 문자열로 변환됩니다. when이 비어 있으면 read_only_udm.metadata.event_timestamp에 매핑됩니다. |
| hostname | read_only_udm.principal.hostname, read_only_udm.principal.asset.hostname | 호스트 이름 필드의 값 |
| log_time | read_only_udm.metadata.event_timestamp | log_time 필드 값이 타임스탬프로 변환되었습니다. when 및 device_time이 비어 있으면 read_only_udm.metadata.event_timestamp에 매핑됩니다. |
| msg_desc | read_only_udm.metadata.description | msg_desc 필드의 값 |
| os_details | read_only_udm.target.asset.platform_software.platform, read_only_udm.target.asset.platform_software.platform_version | os_details 필드의 값입니다. os_details가 비어 있지 않으면 파싱되어 os_name과 os_ver이 추출됩니다. os_name에 Windows가 포함되어 있으면 read_only_udm.target.asset.platform_software.platform이 WINDOWS로 설정됩니다. os_ver는 read_only_udm.target.asset.platform_software.platform_version에 매핑됩니다. |
| product_data.cs(Referer) | read_only_udm.network.http.referral_url | product_data.cs(Referer) 필드의 값 |
| product_data.r-supplier-country | read_only_udm.principal.location.country_or_region | product_data.r-supplier-country 필드의 값 |
| product_data.s-supplier-ip | read_only_udm.intermediary.ip, read_only_udm.intermediary.asset.ip | product_data.s-supplier-ip 필드의 값 |
| product_data.x-bluecoat-application-name | read_only_udm.target.application | product_data.x-bluecoat-application-name 필드의 값 |
| product_data.x-bluecoat-transaction-uuid | read_only_udm.metadata.product_log_id | product_data.x-bluecoat-transaction-uuid 필드의 값 |
| product_data.x-client-agent-sw | read_only_udm.observer.platform_version | product_data.x-client-agent-sw 필드의 값 |
| product_data.x-client-agent-type | read_only_udm.observer.application | product_data.x-client-agent-type 필드의 값 |
| product_data.x-client-device-id | read_only_udm.target.resource.type, read_only_udm.target.resource.id, read_only_udm.target.resource.product_object_id | 비어 있지 않으면 read_only_udm.target.resource.type이 DEVICE로 설정됩니다. product_data.x-client-device-id 필드의 값이 read_only_udm.target.resource.id 및 read_only_udm.target.resource.product_object_id에 매핑됩니다. |
| product_data.x-client-device-name | read_only_udm.src.hostname, read_only_udm.src.asset.hostname | product_data.x-client-device-name 필드의 값 |
| product_data.x-cs-client-ip-country | read_only_udm.target.location.country_or_region | product_data.x-cs-client-ip-country 필드의 값 |
| product_data.x-cs-connection-negotiated-cipher | read_only_udm.network.tls.cipher | product_data.x-cs-connection-negotiated-cipher 필드의 값 |
| product_data.x-cs-connection-negotiated-ssl-version | read_only_udm.network.tls.version_protocol | product_data.x-cs-connection-negotiated-ssl-version 필드의 값 |
| product_data.x-exception-id | read_only_udm.security_result.summary | product_data.x-exception-id 필드의 값 |
| product_data.x-rs-certificate-hostname | read_only_udm.network.tls.client.server_name | product_data.x-rs-certificate-hostname 필드의 값 |
| product_data.x-rs-certificate-hostname-categories | read_only_udm.security_result.category_details | product_data.x-rs-certificate-hostname-categories 필드의 값 |
| product_data.x-rs-certificate-observed-errors | read_only_udm.network.tls.server.certificate.issuer | product_data.x-rs-certificate-observed-errors 필드의 값 |
| product_data.x-rs-certificate-validate-status | read_only_udm.network.tls.server.certificate.subject | product_data.x-rs-certificate-validate-status 필드의 값 |
| product_name | read_only_udm.metadata.product_name | product_name 필드의 값 |
| product_ver | read_only_udm.metadata.product_version | product_ver 필드의 값 |
| proxy_connection.src_ip | read_only_udm.intermediary.ip, read_only_udm.intermediary.asset.ip | proxy_connection.src_ip 필드의 값 |
| received_bytes | read_only_udm.network.received_bytes | received_bytes 필드 값이 정수로 변환됨 |
| ref_uid | read_only_udm.metadata.product_log_id | ref_uid 필드의 값 |
| s_action | read_only_udm.metadata.description | s_action 필드의 값 |
| sent_bytes | read_only_udm.network.sent_bytes | sent_bytes 필드 값이 정수로 변환됨 |
| severity_id | read_only_udm.security_result.severity | severity_id가 1 또는 2이면 read_only_udm.security_result.severity가 LOW로 설정됩니다. severity_id가 3 또는 4인 경우 read_only_udm.security_result.severity가 MEDIUM으로 설정됩니다. severity_id가 5 또는 6이면 read_only_udm.security_result.severity가 HIGH로 설정됩니다. |
| supplier_country | read_only_udm.principal.location.country_or_region | supplier_country 필드의 값 |
| target_ip | read_only_udm.target.ip, read_only_udm.target.asset.ip | target_ip 필드의 값 |
| user.full_name | read_only_udm.principal.user.user_display_name | user.full_name 필드의 값 |
| user.name | read_only_udm.principal.user.user_display_name | user.name 필드의 값 |
| user_name | read_only_udm.principal.user.user_display_name | user_name 필드의 값 |
| uuid | read_only_udm.metadata.product_log_id | uuid 필드의 값 |
| 언제 | read_only_udm.metadata.event_timestamp | 필드가 타임스탬프로 변환된 시점의 값 |
| read_only_udm.metadata.event_type | 호스트 이름이 비어 있고 connection.dst_ip가 비어 있지 않은 경우 NETWORK_UNCATEGORIZED로 설정됩니다. 호스트 이름이 비어 있지 않으면 SCAN_NETWORK로 설정합니다. has_principal 및 has_target이 true인 경우 NETWORK_CONNECTION으로 설정됩니다. has_principal이 true이고 has_target이 false인 경우 STATUS_UPDATE로 설정됩니다. has_principal 및 has_target이 false인 경우 GENERIC_EVENT로 설정 | |
| read_only_udm.metadata.log_type | 항상 SYMANTEC_WSS로 설정됩니다. | |
| read_only_udm.metadata.vendor_name | 항상 SYMANTEC으로 설정 | |
| read_only_udm.security_result.action | product_data.sc-filter_result가 OBSERVED 또는 PROXIED인 경우 ALLOW로 설정됩니다. product_data.sc-filter_result가 DENIED인 경우 BLOCK으로 설정 | |
| read_only_udm.security_result.action_details | product_data.sc-filter_result 필드의 값 | |
| read_only_udm.target.resource.type | product_data.x-client-device-id가 비어 있지 않으면 DEVICE로 설정합니다. |
도움이 더 필요한가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.