TeamViewer 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Google Cloud Storage를 사용하여 TeamViewer 로그를 Google Security Operations로 수집하는 방법을 설명합니다. 파서는 JSON 형식 로그에서 감사 이벤트를 추출합니다. 이 함수는 이벤트 세부정보를 반복하여 특정 속성을 통합 데이터 모델 (UDM) 필드에 매핑하고, 참여자 및 발표자 정보를 처리하고, 사용자 활동에 따라 이벤트를 분류합니다. 파서는 라벨 병합, 타임스탬프를 표준화된 형식으로 변환과 같은 데이터 변환도 실행합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Cloud Storage API가 사용 설정된 GCP 프로젝트
- GCS 버킷을 만들고 관리할 수 있는 권한
- GCS 버킷의 IAM 정책을 관리할 수 있는 권한
- Cloud Run 서비스, Pub/Sub 주제, Cloud Scheduler 작업을 만들 수 있는 권한
- TeamViewer 관리 콘솔에 대한 액세스 권한
- TeamViewer Business, Premium, Corporate 또는 Tensor 라이선스 (API 액세스에 필요)
Google Cloud Storage 버킷 만들기
- Google Cloud Console로 이동합니다.
- 프로젝트를 선택하거나 새 프로젝트를 만듭니다.
- 탐색 메뉴에서 Cloud Storage> 버킷으로 이동합니다.
- 버킷 만들기를 클릭합니다.
다음 구성 세부정보를 제공합니다.
설정 값 버킷 이름 지정 전역적으로 고유한 이름 (예: teamviewer-logs)을 입력합니다.위치 유형 필요에 따라 선택 (리전, 이중 리전, 멀티 리전) 위치 위치를 선택합니다 (예: us-central1).스토리지 클래스 Standard (자주 액세스하는 로그에 권장) 액세스 제어 균일 (권장) 보호 도구 선택사항: 객체 버전 관리 또는 보관 정책 사용 설정 만들기를 클릭합니다.
TeamViewer 기본 요건 가져오기
- https://login.teamviewer.com/에서 TeamViewer Management Console에 로그인합니다.
- 오른쪽 상단에 있는 사용자 아이콘을 클릭하고 프로필 수정을 선택합니다.
- 앱을 선택합니다.
- 스크립트 토큰 만들기를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 토큰 이름: 설명이 포함된 이름 (예:
Google SecOps Integration)을 입력합니다. - 권한: 다음 권한을 선택합니다.
- 계정 관리 > 계정 데이터 보기
- 세션 관리 > 세션 데이터 보기
- 연결 보고 > 연결 보고서 보기
- 토큰 이름: 설명이 포함된 이름 (예:
- 만들기를 클릭합니다.
생성된 스크립트 토큰을 복사하여 안전한 위치에 저장합니다.
TeamViewer API 기본 URL을 기록합니다(
https://webapi.teamviewer.com/api/v1).
권한 확인
계정에 필요한 권한이 있는지 확인하려면 다음 단계를 따르세요.
- TeamViewer 관리 콘솔에 로그인합니다.
- 프로필 수정 > 앱으로 이동합니다.
- 목록에서 스크립트 토큰을 찾습니다.
- 연결 보고 > 연결 보고서 보기가 사용 설정되어 있는지 확인합니다.
- 이 권한이 사용 설정되어 있지 않으면 토큰을 수정하고 필요한 권한을 추가합니다.
API 액세스 테스트
통합을 진행하기 전에 사용자 인증 정보를 테스트하세요.
# Replace with your actual script token SCRIPT_TOKEN="your-script-token" API_BASE="https://webapi.teamviewer.com/api/v1" # Test API access curl -v -H "Authorization: Bearer ${SCRIPT_TOKEN}" \ -H "Accept: application/json" \ "${API_BASE}/reports/connections?from_date=2024-01-01T00:00:00Z&to_date=2024-01-01T01:00:00Z"
JSON 데이터와 함께 200 응답을 받으면 사용자 인증 정보가 올바르게 구성된 것입니다.
Cloud Run 함수의 서비스 계정 만들기
Cloud Run 함수에는 GCS 버킷에 쓸 수 있고 Pub/Sub에서 호출할 수 있는 권한이 있는 서비스 계정이 필요합니다.
서비스 계정 만들기
- GCP 콘솔에서 IAM 및 관리자 > 서비스 계정으로 이동합니다.
- 서비스 계정 만들기를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 서비스 계정 이름:
teamviewer-collector-sa을 입력합니다. - 서비스 계정 설명:
Service account for Cloud Run function to collect TeamViewer logs을 입력합니다.
- 서비스 계정 이름:
- 만들고 계속하기를 클릭합니다.
- 이 서비스 계정에 프로젝트에 대한 액세스 권한 부여 섹션에서 다음 역할을 추가합니다.
- 역할 선택을 클릭합니다.
- 스토리지 객체 관리자를 검색하여 선택합니다.
- + 다른 역할 추가를 클릭합니다.
- Cloud Run 호출자를 검색하여 선택합니다.
- + 다른 역할 추가를 클릭합니다.
- Cloud Functions 호출자를 검색하여 선택합니다.
- 계속을 클릭합니다.
- 완료를 클릭합니다.
이러한 역할은 다음 작업에 필요합니다. - 스토리지 객체 관리자: GCS 버킷에 로그를 쓰고 상태 파일을 관리합니다. - Cloud Run 호출자: Pub/Sub에서 함수를 호출하도록 허용합니다. - Cloud Functions 호출자: 함수 호출을 허용합니다.
GCS 버킷에 대한 IAM 권한 부여
GCS 버킷에 대한 쓰기 권한을 서비스 계정에 부여합니다.
- Cloud Storage> 버킷으로 이동합니다.
- 버킷 이름 (예:
teamviewer-logs)을 클릭합니다. - 권한 탭으로 이동합니다.
- 액세스 권한 부여를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 주 구성원 추가: 서비스 계정 이메일 (예:
teamviewer-collector-sa@PROJECT_ID.iam.gserviceaccount.com)을 입력합니다. - 역할 할당: 스토리지 객체 관리자를 선택합니다.
- 주 구성원 추가: 서비스 계정 이메일 (예:
- 저장을 클릭합니다.
게시/구독 주제 만들기
Cloud Scheduler가 게시하고 Cloud Run 함수가 구독할 Pub/Sub 주제를 만듭니다.
- GCP Console에서 Pub/Sub > 주제로 이동합니다.
- 주제 만들기를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 주제 ID:
teamviewer-logs-trigger를 입력합니다. - 다른 설정은 기본값으로 둡니다.
- 주제 ID:
- 만들기를 클릭합니다.
로그를 수집하는 Cloud Run 함수 만들기
Cloud Run 함수는 Cloud Scheduler의 Pub/Sub 메시지에 의해 트리거되어 TeamViewer API에서 로그를 가져오고 GCS에 씁니다.
- GCP 콘솔에서 Cloud Run으로 이동합니다.
- 서비스 만들기를 클릭합니다.
- 함수를 선택합니다 (인라인 편집기를 사용하여 함수 만들기).
구성 섹션에서 다음 구성 세부정보를 제공합니다.
설정 값 서비스 이름 teamviewer-logs-collector리전 GCS 버킷과 일치하는 리전을 선택합니다 (예: us-central1).런타임 Python 3.12 이상 선택 트리거 (선택사항) 섹션에서 다음을 수행합니다.
- + 트리거 추가를 클릭합니다.
- Cloud Pub/Sub를 선택합니다.
- Cloud Pub/Sub 주제 선택에서 Pub/Sub 주제 (
teamviewer-logs-trigger)를 선택합니다. - 저장을 클릭합니다.
인증 섹션에서 다음을 구성합니다.
- 인증 필요를 선택합니다.
- ID 및 액세스 관리 (IAM)를 확인합니다.
아래로 스크롤하고 컨테이너, 네트워킹, 보안을 펼칩니다.
보안 탭으로 이동합니다.
- 서비스 계정: 서비스 계정 (
teamviewer-collector-sa)을 선택합니다.
- 서비스 계정: 서비스 계정 (
컨테이너 탭으로 이동합니다.
- 변수 및 보안 비밀을 클릭합니다.
- 각 환경 변수에 대해 + 변수 추가를 클릭합니다.
변수 이름 예시 값 GCS_BUCKETteamviewer-logsGCS_PREFIXteamviewer/audit/STATE_KEYteamviewer/audit/state.jsonWINDOW_SECONDS3600HTTP_TIMEOUT60MAX_RETRIES3USER_AGENTteamviewer-to-gcs/1.0SCRIPT_TOKENyour-script-token(TeamViewer 기본 요건에서)API_BASE_URLhttps://webapi.teamviewer.com/api/v1변수 및 보안 비밀 섹션에서 요청까지 아래로 스크롤합니다.
- 요청 제한 시간:
600초 (10분)를 입력합니다.
- 요청 제한 시간:
설정 탭으로 이동합니다.
- 리소스 섹션에서 다음을 수행합니다.
- 메모리: 512MiB 이상을 선택합니다.
- CPU: 1을 선택합니다.
- 리소스 섹션에서 다음을 수행합니다.
버전 확장 섹션에서 다음을 수행합니다.
- 최소 인스턴스 수:
0를 입력합니다. - 최대 인스턴스 수:
100을 입력합니다 (또는 예상 부하에 따라 조정).
- 최소 인스턴스 수:
만들기를 클릭합니다.
서비스가 생성될 때까지 기다립니다 (1~2분).
서비스가 생성되면 인라인 코드 편집기가 자동으로 열립니다.
함수 코드 추가
- 함수 진입점에 main을 입력합니다.
인라인 코드 편집기에서 다음 두 파일을 만듭니다.
- 첫 번째 파일: main.py:
import functions_framework from google.cloud import storage import json import os import urllib.request import urllib.parse import urllib.error from datetime import datetime, timezone import time import uuid # Initialize Storage client storage_client = storage.Client() @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch TeamViewer audit logs and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ # Get environment variables bucket_name = os.environ.get('GCS_BUCKET') prefix = os.environ.get('GCS_PREFIX', 'teamviewer/audit/') state_key = os.environ.get('STATE_KEY', 'teamviewer/audit/state.json') window_sec = int(os.environ.get('WINDOW_SECONDS', '3600')) http_timeout = int(os.environ.get('HTTP_TIMEOUT', '60')) max_retries = int(os.environ.get('MAX_RETRIES', '3')) user_agent = os.environ.get('USER_AGENT', 'teamviewer-to-gcs/1.0') # TeamViewer API credentials api_base_url = os.environ.get('API_BASE_URL') script_token = os.environ.get('SCRIPT_TOKEN') if not all([bucket_name, api_base_url, script_token]): print('Error: Missing required environment variables') return try: # Get GCS bucket bucket = storage_client.bucket(bucket_name) # Load state (last processed timestamp) state = load_state(bucket, state_key) now = time.time() from_ts = float(state.get('last_to_ts') or (now - window_sec)) to_ts = now print(f'Fetching TeamViewer audit data from {iso_format(from_ts)} to {iso_format(to_ts)}') # Build audit API URL url = build_audit_url(api_base_url, from_ts, to_ts) print(f'Fetching TeamViewer audit data from: {url}') # Fetch audit data with retries and pagination all_records = [] offset_id = None while True: blob_data, content_type, next_offset = fetch_audit_data( url, script_token, user_agent, http_timeout, max_retries, offset_id ) # Validate JSON data try: audit_data = json.loads(blob_data) records = audit_data.get('records', []) all_records.extend(records) print(f"Retrieved {len(records)} audit records (total: {len(all_records)})") # Check for pagination if next_offset and len(records) == 1000: offset_id = next_offset print(f"Fetching next page with offset_id: {offset_id}") else: break except json.JSONDecodeError as e: print(f"Warning: Invalid JSON received: {e}") break if all_records: # Write to GCS key = put_audit_data(bucket, prefix, json.dumps({'records': all_records}), 'application/json', from_ts, to_ts) print(f'Successfully wrote {len(all_records)} audit records to {key}') else: print('No audit records found') # Update state state['last_to_ts'] = to_ts state['last_successful_run'] = now save_state(bucket, state_key, state) except Exception as e: print(f'Error processing TeamViewer logs: {str(e)}') raise def load_state(bucket, key): """Load state from GCS.""" try: blob = bucket.blob(key) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) except Exception as e: print(f'Warning: Could not load state: {str(e)}') return {} def save_state(bucket, key, state): """Save state to GCS.""" try: blob = bucket.blob(key) blob.upload_from_string( json.dumps(state, separators=(',', ':')), content_type='application/json' ) except Exception as e: print(f'Warning: Could not save state: {str(e)}') def iso_format(ts): """Convert Unix timestamp to ISO 8601 format.""" return time.strftime('%Y-%m-%dT%H:%M:%SZ', time.gmtime(ts)) def build_audit_url(api_base_url, from_ts, to_ts): """Build URL for TeamViewer audit API endpoint.""" base_endpoint = f"{api_base_url.rstrip('/')}/reports/connections" params = { 'from_date': iso_format(from_ts), 'to_date': iso_format(to_ts) } query_string = urllib.parse.urlencode(params) return f"{base_endpoint}?{query_string}" def fetch_audit_data(url, script_token, user_agent, http_timeout, max_retries, offset_id=None): """Fetch audit data from TeamViewer API with retries and pagination support.""" # Add offset_id parameter if provided if offset_id: separator = '&' if '?' in url else '?' url = f"{url}{separator}offset_id={offset_id}" attempt = 0 while True: req = urllib.request.Request(url, method='GET') req.add_header('User-Agent', user_agent) req.add_header('Authorization', f'Bearer {script_token}') req.add_header('Accept', 'application/json') try: with urllib.request.urlopen(req, timeout=http_timeout) as r: response_data = r.read() content_type = r.headers.get('Content-Type') or 'application/json' # Extract next_offset from response if present try: data = json.loads(response_data) next_offset = data.get('next_offset') except: next_offset = None return response_data, content_type, next_offset except urllib.error.HTTPError as e: if e.code == 429: attempt += 1 print(f'Rate limited (429) on attempt {attempt}') if attempt > max_retries: raise time.sleep(min(60, 2 ** attempt) + (time.time() % 1)) else: print(f'HTTP error {e.code}: {e.reason}') raise except urllib.error.URLError as e: attempt += 1 print(f'URL error on attempt {attempt}: {e}') if attempt > max_retries: raise time.sleep(min(60, 2 ** attempt) + (time.time() % 1)) def put_audit_data(bucket, prefix, blob_data, content_type, from_ts, to_ts): """Write audit data to GCS.""" ts_path = time.strftime('%Y/%m/%d', time.gmtime(to_ts)) uniq = f"{int(time.time() * 1e6)}_{uuid.uuid4().hex[:8]}" key = f"{prefix}{ts_path}/teamviewer_audit_{int(from_ts)}_{int(to_ts)}_{uniq}.json" blob = bucket.blob(key) blob.metadata = { 'source': 'teamviewer-audit', 'from_timestamp': str(int(from_ts)), 'to_timestamp': str(int(to_ts)) } blob.upload_from_string(blob_data, content_type=content_type) return key- 두 번째 파일: requirements.txt:
functions-framework==3.* google-cloud-storage==2.*배포를 클릭하여 함수를 저장하고 배포합니다.
배포가 완료될 때까지 기다립니다 (2~3분).
Cloud Scheduler 작업 만들기
Cloud Scheduler는 일정 간격으로 Pub/Sub 주제에 메시지를 게시하여 Cloud Run 함수를 트리거합니다.
- GCP Console에서 Cloud Scheduler로 이동합니다.
- 작업 만들기를 클릭합니다.
다음 구성 세부정보를 제공합니다.
설정 값 이름 teamviewer-logs-collector-hourly리전 Cloud Run 함수와 동일한 리전 선택 주파수 0 * * * *(매시간 정각)시간대 시간대 선택 (UTC 권장) 타겟 유형 Pub/Sub 주제 Pub/Sub 주제 ( teamviewer-logs-trigger)를 선택합니다.메일 본문 {}(빈 JSON 객체)만들기를 클릭합니다.
일정 빈도 옵션
로그 볼륨 및 지연 시간 요구사항에 따라 빈도를 선택합니다.
빈도 크론 표현식 사용 사례 5분마다 */5 * * * *대용량, 저지연 15분마다 */15 * * * *검색량 보통 1시간마다 0 * * * *일반(권장) 6시간마다 0 */6 * * *양이 적은 일괄 처리 매일 0 0 * * *이전 데이터 수집
통합 테스트
- Cloud Scheduler 콘솔에서 작업을 찾습니다 (
teamviewer-logs-collector-hourly). - 강제 실행을 클릭하여 작업을 수동으로 트리거합니다.
- 몇 초 동안 기다립니다.
- Cloud Run > 서비스로 이동합니다.
- 함수 이름 (
teamviewer-logs-collector)을 클릭합니다. - 로그 탭을 클릭합니다.
함수가 성공적으로 실행되었는지 확인합니다. 다음을 확인하세요.
Fetching TeamViewer audit data from YYYY-MM-DDTHH:MM:SSZ to YYYY-MM-DDTHH:MM:SSZ Retrieved X audit records (total: X) Successfully wrote X audit records to teamviewer/audit/YYYY/MM/DD/teamviewer_audit_...jsonCloud Storage> 버킷으로 이동합니다.
버킷 이름 (
teamviewer-logs)을 클릭합니다.접두사 폴더 (
teamviewer/audit/)로 이동합니다.현재 타임스탬프를 사용하여 새
.json파일이 생성되었는지 확인합니다.
로그에 오류가 표시되면 다음 단계를 따르세요.
- HTTP 401:
SCRIPT_TOKEN환경 변수가 TeamViewer 스크립트 토큰과 일치하는지 확인합니다. - HTTP 403: 스크립트 토큰에 연결 보고 > 연결 보고서 보기 권한이 있는지 확인합니다.
- HTTP 429: 비율 제한 - 함수가 지수 백오프로 자동 재시도됩니다.
- 환경 변수 누락: 필수 변수 (
GCS_BUCKET,API_BASE_URL,SCRIPT_TOKEN)가 모두 설정되어 있는지 확인합니다.
Google SecOps 서비스 계정 가져오기
Google SecOps는 고유한 서비스 계정을 사용하여 GCS 버킷에서 데이터를 읽습니다. 이 서비스 계정에 버킷에 대한 액세스 권한을 부여해야 합니다.
서비스 계정 이메일 가져오기
- SIEM 설정> 피드로 이동합니다.
- 새 피드 추가를 클릭합니다.
- 단일 피드 구성을 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다(예:
TeamViewer logs). - 소스 유형으로 Google Cloud Storage V2를 선택합니다.
- 로그 유형으로 TeamViewer를 선택합니다.
서비스 계정 가져오기를 클릭합니다. 고유한 서비스 계정 이메일이 표시됩니다. 예를 들면 다음과 같습니다.
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com다음 단계에서 사용할 수 있도록 이 이메일 주소를 복사합니다.
Google SecOps 서비스 계정에 IAM 권한 부여
Google SecOps 서비스 계정에는 GCS 버킷에 대한 스토리지 객체 뷰어 역할이 필요합니다.
- Cloud Storage> 버킷으로 이동합니다.
- 버킷 이름 (
teamviewer-logs)을 클릭합니다. - 권한 탭으로 이동합니다.
- 액세스 권한 부여를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 주 구성원 추가: Google SecOps 서비스 계정 이메일을 붙여넣습니다.
- 역할 할당: 스토리지 객체 뷰어를 선택합니다.
저장을 클릭합니다.
TeamViewer 로그를 수집하도록 Google SecOps에서 피드 구성
- SIEM 설정> 피드로 이동합니다.
- 새 피드 추가를 클릭합니다.
- 단일 피드 구성을 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다(예:
TeamViewer logs). - 소스 유형으로 Google Cloud Storage V2를 선택합니다.
- 로그 유형으로 TeamViewer를 선택합니다.
- 다음을 클릭합니다.
다음 입력 매개변수의 값을 지정합니다.
스토리지 버킷 URL: 다음 접두사 경로를 사용하여 GCS 버킷 URI를 입력합니다.
gs://teamviewer-logs/teamviewer/audit/다음과 같이 바꿉니다.
teamviewer-logs: GCS 버킷 이름입니다.teamviewer/audit/: 로그가 저장되는 접두사/폴더 경로입니다.
소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
- 삭제 안함: 전송 후 파일을 삭제하지 않습니다 (테스트에 권장).
- 전송된 파일 삭제: 전송이 완료되면 파일을 삭제합니다.
전송된 파일 및 빈 디렉터리 삭제: 전송이 완료되면 파일과 빈 디렉터리를 삭제합니다.
최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.
애셋 네임스페이스: 애셋 네임스페이스입니다.
수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
다음을 클릭합니다.
확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 로직 |
|---|---|---|
| AffectedItem | metadata.product_log_id | 원시 로그의 AffectedItem 값이 이 UDM 필드에 직접 매핑됩니다. |
| EventDetails.NewValue | principal.resource.attribute.labels.value | PropertyName에 (server)가 포함된 경우 NewValue가 principal.resource.attribute.labels의 라벨 값으로 사용됩니다. |
| EventDetails.NewValue | principal.user.user_display_name | PropertyName이 참여자 이름인 경우 NewValue가 주체의 사용자 표시 이름으로 사용됩니다. |
| EventDetails.NewValue | principal.user.userid | PropertyName이 참여자의 ID인 경우 NewValue가 주체의 사용자 ID로 사용됩니다. |
| EventDetails.NewValue | security_result.about.labels.value | 다른 모든 PropertyName 값 (특정 조건에 의해 처리되는 값 제외)의 경우 NewValue가 security_result.about.labels 배열 내 라벨의 값으로 사용됩니다. |
| EventDetails.NewValue | target.file.full_path | PropertyName이 소스 파일인 경우 NewValue가 타겟 파일의 전체 경로로 사용됩니다. |
| EventDetails.NewValue | target.resource.attribute.labels.value | PropertyName에 (client)가 포함된 경우 NewValue는 target.resource.attribute.labels의 라벨 값으로 사용됩니다. |
| EventDetails.NewValue | target.user.user_display_name | PropertyName이 발표자 이름인 경우 NewValue가 파싱됩니다. 정수인 경우 삭제됩니다. 그렇지 않으면 타겟의 사용자 표시 이름으로 사용됩니다. |
| EventDetails.NewValue | target.user.userid | PropertyName이 발표자의 ID인 경우 NewValue가 타겟의 사용자 ID로 사용됩니다. |
| EventDetails.PropertyName | principal.resource.attribute.labels.key | PropertyName에 (server)가 포함된 경우 PropertyName은 principal.resource.attribute.labels의 라벨 키로 사용됩니다. |
| EventDetails.PropertyName | security_result.about.labels.key | 다른 모든 PropertyName 값 (특정 조건으로 처리되는 값 제외)의 경우 PropertyName은 security_result.about.labels 배열 내 라벨의 키로 사용됩니다. |
| EventDetails.PropertyName | target.resource.attribute.labels.key | PropertyName에 (client)가 포함된 경우 PropertyName은 target.resource.attribute.labels의 라벨 키로 사용됩니다. |
| 이벤트 이름 | metadata.product_event_type | 원시 로그의 EventName 값이 이 UDM 필드에 직접 매핑됩니다. |
| 타임스탬프 | metadata.event_timestamp | 원시 로그의 타임스탬프 값이 파싱되어 메타데이터의 이벤트 타임스탬프로 사용됩니다. |
| metadata.event_type | src_user (참여자의 ID에서 파생됨)가 비어 있지 않으면 USER_UNCATEGORIZED로 설정하고, 그렇지 않으면 USER_RESOURCE_ACCESS로 설정합니다. | |
| metadata.vendor_name | TEAMVIEWER로 하드코딩됩니다. | |
| metadata.product_name | TEAMVIEWER로 하드코딩됩니다. | |
| network.application_protocol | TEAMVIEWER로 하드코딩됩니다. |
도움이 더 필요한가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.