CEF에서 CrowdStrike Falcon 로그 수집

이 문서에서는 Bindplane을 사용하여 CEF 형식으로 CrowdStrike Falcon 로그를 수집하는 방법을 설명합니다. 파서는 키-값 쌍을 추출하여 통합 데이터 모델 (UDM)에 매핑하고, 다양한 구분자를 처리하며, 심각도 및 이벤트 유형과 같은 추가 컨텍스트로 데이터를 보강합니다. 또한 사용자 로그인 및 보안 결과와 같은 특정 이벤트 유형 및 필드에 대해 특정 변환을 실행합니다.

시작하기 전에

• Google Security Operations 인스턴스가 있는지 확인합니다.
• Windows 2016 이상 또는 systemd를 사용하는 Linux 호스트를 사용하고 있는지 확인합니다.
• 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
• CrowdStrike Falcon 콘솔에 대한 액세스 권한이 있는지 확인합니다.
• Falcon Stream의 API 사용자 인증 정보 (클라이언트 ID 및 클라이언트 보안 비밀번호)를 가져옵니다.

Google SecOps 처리 인증 파일 가져오기

1. Google SecOps 콘솔에 로그인합니다.
2. SIEM 설정 > 수집 에이전트로 이동합니다.
3. 처리 인증 파일을 다운로드합니다. Bindplane가 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

1. Google SecOps 콘솔에 로그인합니다.
2. SIEM 설정 > 프로필로 이동합니다.
3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

Windows 설치

1. 관리자 권한으로 명령 프롬프트 또는 PowerShell을 엽니다.

2. 다음 명령어를 실행합니다.

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux 설치

1. 루트 또는 sudo 권한으로 터미널을 엽니다.

2. 다음 명령어를 실행합니다.

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

추가 설치 리소스

• 추가 설치 옵션은 이 설치 가이드를 참고하세요.

Syslog를 수집하고 Google SecOps로 전송하도록 Bindplane 에이전트 구성

1. 구성 파일에 액세스합니다.

   1. config.yaml 파일을 찾습니다. 일반적으로 Linux의 /etc/bindplane-agent/ 디렉터리 또는 Windows의 설치 디렉터리에 있습니다.
   2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

2. 다음과 같이 config.yaml 파일을 수정합니다.

   receivers:
       tcplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:54525"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: SYSLOG
               namespace: cs_falcon
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   
   

3. 인프라에서 필요에 따라 포트와 IP 주소를 바꿉니다.

4. <customer_id>를 실제 고객 ID로 바꿉니다.

5. /path/to/ingestion-authentication-file.json를 Google SecOps 처리 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

• Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

  sudo systemctl restart bindplane-agent
  

• Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

  net stop BindPlaneAgent && net start BindPlaneAgent
  

CrowdStrike API 키 구성 및 가져오기

1. 권한이 있는 계정으로 CrowdStrike Falcon에 로그인합니다.
2. 메뉴 > 지원으로 이동합니다.
3. API 클라이언트 > KeysSelect를 클릭합니다.
4. 새 API 클라이언트 추가를 클릭합니다.
5. API 범위 섹션에서 이벤트 스트림 및 알림을 선택하고 > 읽기 옵션을 사용 설정합니다.
6. 추가를 클릭합니다.
7. 클라이언트 ID, 보안 비밀번호, 기본 URL을 복사하여 저장합니다.

Falcon SIEM 커넥터 설치

1. 운영체제용 RPM 설치 프로그램 패키지를 다운로드합니다.

2. 패키지 설치:

   • CentOS 운영체제:

     sudo rpm -Uvh <installer package>
     

   • Ubuntu 운영체제:

     sudo dpkg -i <installer package>
     

3. 기본 설치 디렉터리:

   • Falcon SIEM 커넥터 - /opt/crowdstrike/
   • 서비스 - /etc/init.d/cs.falconhoseclientd/

CEF 로그를 Bindplane로 전달하도록 SIEM 커넥터 구성

1. SIEM 커넥터가 설치된 머신에 sudo 사용자로 로그인합니다.
2. /opt/crowdstrike/etc/ 디렉터리로 이동합니다.
3. cs.falconhoseclient.cef.cfg의 이름을 cs.falconhoseclient.cfg로 바꿉니다.
   • SIEM 커넥터는 기본적으로 cs.falconhoseclient.cfg 구성을 사용합니다.
4. cs.falconhoseclient.cfg 파일을 수정하고 다음 매개변수를 수정/설정합니다.
   • api_url: - 이전 단계에서 복사한 CrowdStrike Falcon Base URL입니다.
   • app_id: - Falcon Streaming API에 연결하기 위한 식별자로 사용되는 문자열입니다 (예: app_id: SECOPS-CEF로 설정).
   • client_id: - 이전 단계에서 복사한 client_id 값입니다.
   • client_secret: - 이전 단계에서 복사한 client_secret 값입니다.
   • send_to_syslog_server: true - 시스템로그 서버에 대한 푸시를 사용 설정합니다.
   • host: - Bindplane 에이전트의 IP 또는 호스트 이름입니다.
   • port: - Bindplane 에이전트의 포트입니다.
5. cs.falconhoseclient.cfg 파일을 저장합니다.

6. SIEM 커넥터 서비스를 시작합니다.

   • CentOS 운영체제

     sudo service cs.falconhoseclientd start
     

   • Ubuntu 16.04 이상 운영체제

     sudo systemctl start cs.falconhoseclientd.service
     

7. 선택사항: SIEM 커넥터 서비스를 중지합니다.

   • CentOS 운영체제

     sudo service cs.falconhoseclientd stop
     

   • Ubuntu 16.04 이상 운영체제

     sudo systemctl stop cs.falconhoseclientd.service
     

8. 선택사항: SIEM 커넥터 서비스를 다시 시작합니다.

   • CentOS 운영체제

     sudo service cs.falconhoseclientd restart
     

   • Ubuntu 16.04 이상 운영체제

     sudo systemctl restart cs.falconhoseclientd.service
     

UDM 매핑 표

로그 필드	UDM 매핑	논리
AccountCreationTimeStamp	event.idm.read_only_udm.metadata.event_timestamp	원시 로그 필드 AccountCreationTimeStamp의 이름이 event.idm.read_only_udm.metadata.event_timestamp로 변경되었습니다.
AccountDomain	event.idm.read_only_udm.principal.administrative_domain	원시 로그 필드 AccountDomain의 이름이 event.idm.read_only_udm.principal.administrative_domain로 변경되었습니다.
AccountObjectGuid	event.idm.read_only_udm.metadata.product_log_id	원시 로그 필드 AccountObjectGuid의 이름이 event.idm.read_only_udm.metadata.product_log_id로 변경되었습니다.
AccountObjectSid	event.idm.read_only_udm.principal.user.windows_sid	원시 로그 필드 AccountObjectSid의 이름이 event.idm.read_only_udm.principal.user.windows_sid로 변경되었습니다.
AccessType	-	IDM 객체에 매핑되지 않았습니다.
action_taken	event.idm.read_only_udm.additional.fields[0].value.string_value	AuditKeyValues 배열의 일부입니다.
ActiveCpuCount	-	IDM 객체에 매핑되지 않았습니다.
ActiveDirectoryAuthenticationMethod	-	IDM 객체에 매핑되지 않았습니다.
ActiveDirectoryDataProtocol	-	IDM 객체에 매핑되지 않았습니다.
AddressFamily	-	IDM 객체에 매핑되지 않았습니다.
AdminStatus	-	IDM 객체에 매핑되지 않았습니다.
AllocateVirtualMemoryCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
agent-windows	event.idm.read_only_udm.target.file.full_path	TargetFileName의 일부입니다.
AgentIdString	event.idm.read_only_udm.principal.asset_id	CS: 프리픽스가 붙습니다.
AgentLoadFlags	-	IDM 객체에 매핑되지 않았습니다.
AgentLocalTime	-	IDM 객체에 매핑되지 않았습니다.
AgentOnline AgentTimeOffset	-	IDM 객체에 매핑되지 않았습니다.
AgentVersion AggregationActivityCount AggregationEarliestTimestamp	-	IDM 객체에 매핑되지 않았습니다.
aid	event.idm.read_only_udm.principal.asset_id	CS: 프리픽스가 붙습니다.
aip	event.idm.read_only_udm.principal.nat_ip	_aid_is_target가 false이고 aip가 null이 아닌 경우 값이 aip인 ip 항목을 만들고 event.idm.read_only_udm.principal.nat_ip에 추가합니다.
aipCount AllocVmEtw AllocationType	-	IDM 객체에 매핑되지 않았습니다.
AllowHardTerminate	-	IDM 객체에 매핑되지 않았습니다.
AllowStartOnDemand	-	IDM 객체에 매핑되지 않았습니다.
ApcArgument1	-	IDM 객체에 매핑되지 않았습니다.
ApcArgument2	-	IDM 객체에 매핑되지 않았습니다.
ApcContextAddress	-	IDM 객체에 매핑되지 않았습니다.
ApcContextFileName	-	IDM 객체에 매핑되지 않았습니다.
ApcContext	-	IDM 객체에 매핑되지 않았습니다.
ApplicationName ApplicationUniqueIdentifier	-	IDM 객체에 매핑되지 않았습니다.
ApplicationVersion	-	IDM 객체에 매핑되지 않았습니다.
AppIs64Bit	-	IDM 객체에 매핑되지 않았습니다.
AppName AppPath AppPathFlag	-	IDM 객체에 매핑되지 않았습니다.
AppProductId	-	IDM 객체에 매핑되지 않았습니다.
AppType	-	IDM 객체에 매핑되지 않았습니다.
AppUpdateIds	-	IDM 객체에 매핑되지 않았습니다.
AppVendor	-	IDM 객체에 매핑되지 않았습니다.
AppVersion ArchiveFileWrittenCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
AsepClass	-	IDM 객체에 매핑되지 않았습니다.
AsepFileChange AsepFlags	-	IDM 객체에 매핑되지 않았습니다.
AsepIndex	-	IDM 객체에 매핑되지 않았습니다.
AsepKeyUpdate AsepValueUpdate AsepValueType	-	IDM 객체에 매핑되지 않았습니다.
AsepWrittenCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
AssociateIndicator AssociateTreeIdWithRoot AssemblyFlags	-	IDM 객체에 매핑되지 않았습니다.
AssemblyId	-	IDM 객체에 매핑되지 않았습니다.
AssemblyName AuthenticationId	event.idm.read_only_udm.principal.user.product_object_id	CS: 프리픽스가 붙습니다.
AuthenticationPackage AuthenticationUuid	-	IDM 객체에 매핑되지 않았습니다.
AuthenticationUuidAsString	-	IDM 객체에 매핑되지 않았습니다.
AuthenticodeHashData AuthenticodeMatch automated_remediation	assessments.automated_remediation	ZeroTrustHostAssessment 이벤트의 일부입니다.
BaseReachableTime	-	IDM 객체에 매핑되지 않았습니다.
BaseTime	-	IDM 객체에 매핑되지 않았습니다.
BatchDataNumber	-	IDM 객체에 매핑되지 않았습니다.
BatchDataTotal	-	IDM 객체에 매핑되지 않았습니다.
BatchTimestamp BatteryLevel	-	IDM 객체에 매핑되지 않았습니다.
BatteryStatus	-	IDM 객체에 매핑되지 않았습니다.
BehaviorWhitelisted benchmarks BenignCount	-	IDM 객체에 매핑되지 않았습니다.
beta_build_disabled	assessments.beta_build_disabled	ZeroTrustHostAssessment 이벤트의 일부입니다.
BinaryExecutableWrittenCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
BillingInfo BillingType	-	IDM 객체에 매핑되지 않았습니다.
BiosManufacturer BiosReleaseDate	-	IDM 객체에 매핑되지 않았습니다.
BiosVersion BITSJobCreated BootArgs	-	IDM 객체에 매핑되지 않았습니다.
BootId	-	IDM 객체에 매핑되지 않았습니다.
BootStatusDataAabEnabled	-	IDM 객체에 매핑되지 않았습니다.
BootStatusDataBootAttemptCount	-	IDM 객체에 매핑되지 않았습니다.
BootStatusDataBootGood	-	IDM 객체에 매핑되지 않았습니다.
BootStatusDataBootShutdown	-	IDM 객체에 매핑되지 않았습니다.
BootTimeFunctionalityLevel	-	IDM 객체에 매핑되지 않았습니다.
BrowserInjectedThread BundleID	-	IDM 객체에 매핑되지 않았습니다.
CallStackModuleNames CallStackModuleNamesVersion ChannelId	-	IDM 객체에 매핑되지 않았습니다.
ChannelVersion	-	IDM 객체에 매핑되지 않았습니다.
ChannelVersionRequired ChasisManufacturer	-	IDM 객체에 매핑되지 않았습니다.
ChassisType cid City CLICreationCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
ClassifiedModuleLoad CloudAssociateTreeIdWithRoot CloudErrorCode	-	IDM 객체에 매핑되지 않았습니다.
CNAMERecords CodeIntegrity	-	IDM 객체에 매핑되지 않았습니다.
CommandLine CommandSequence	-	IDM 객체에 매핑되지 않았습니다.
CompletionEventId	-	IDM 객체에 매핑되지 않았습니다.
ComputerName	event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname	ComputerName가 null, 빈 문자열 또는 대시가 아닌 경우 ComputerName 값으로 호스트 이름 항목을 만들고 event.idm.read_only_udm.principal.hostname 및 event.idm.read_only_udm.principal.asset.hostname에 추가합니다.
ConfigBuild ConfigIDBase	-	IDM 객체에 매핑되지 않았습니다.
ConfigIDBuild	-	IDM 객체에 매핑되지 않았습니다.
ConfigIDPlatform	-	IDM 객체에 매핑되지 않았습니다.
ConfigurationVersion	-	IDM 객체에 매핑되지 않았습니다.
ConfigStateData	-	IDM 객체에 매핑되지 않았습니다.
ConfigStateHash ConfigStateUpdate ConnectTime	-	IDM 객체에 매핑되지 않았습니다.
ConnectType	-	IDM 객체에 매핑되지 않았습니다.
Connected	-	IDM 객체에 매핑되지 않았습니다.
ConnectionCipher	-	IDM 객체에 매핑되지 않았습니다.
ConnectionCipherStrength	-	IDM 객체에 매핑되지 않았습니다.
ConnectionDirection	-	IDM 객체에 매핑되지 않았습니다.
ConnectionExchange	-	IDM 객체에 매핑되지 않았습니다.
ConnectionExchangeStrength	-	IDM 객체에 매핑되지 않았습니다.
ConnectionFlags	-	IDM 객체에 매핑되지 않았습니다.
ConnectionHash	-	IDM 객체에 매핑되지 않았습니다.
ConnectionHashStrength	-	IDM 객체에 매핑되지 않았습니다.
ConnectionProtocol	-	IDM 객체에 매핑되지 않았습니다.
ConnectionType	-	IDM 객체에 매핑되지 않았습니다.
Continent ContentSHA256HashData ContextData	-	IDM 객체에 매핑되지 않았습니다.
ContextProcessId	event.idm.read_only_udm.principal.process.product_specific_process_id, event.idm.read_only_udm.target.process.product_specific_process_id	CS:%{cid}:%{aid}: 프리픽스가 붙습니다.
ContextThreadId	-	IDM 객체에 매핑되지 않았습니다.
ContextTimeStamp ContextTimeStamp_decimal Country CrashDumpFilePath	-	IDM 객체에 매핑되지 않았습니다.
CrashNotification CreateProcessArgs CreateProcessCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
CreateService CreateThreadNoStartImage CreationTimeStamp	-	IDM 객체에 매핑되지 않았습니다.
CriticalFileAccessed CriticalFileModified CsaProcessDataCollectionInstanceId	-	IDM 객체에 매핑되지 않았습니다.
CurrentFunctionalityLevel	-	IDM 객체에 매핑되지 않았습니다.
CurrentLocalIP	-	IDM 객체에 매핑되지 않았습니다.
CurrentSystemTags CustomerIdString CycleTime	-	IDM 객체에 매핑되지 않았습니다.
DadState	-	IDM 객체에 매핑되지 않았습니다.
DadTransmits	-	IDM 객체에 매핑되지 않았습니다.
DcName	event.idm.read_only_udm.principal.user.userid	원시 로그 필드 DcName의 이름이 event.idm.read_only_udm.principal.user.userid로 변경되었습니다.
DcNumAttachments	-	IDM 객체에 매핑되지 않았습니다.
DcNumBlockingPolicies	-	IDM 객체에 매핑되지 않았습니다.
DcOnline DcPropertyIdInterfaceType	-	IDM 객체에 매핑되지 않았습니다.
DcPropertyIdInterfaceVersion	-	IDM 객체에 매핑되지 않았습니다.
DcSensorInterfaceType	-	IDM 객체에 매핑되지 않았습니다.
DcSensorInterfaceVersion	-	IDM 객체에 매핑되지 않았습니다.
DcStatus DcUsbConfigurationDescriptor DcUsbDeviceConnected DcUsbDeviceDisconnected DcUsbEndpointDescriptor DcUsbHIDDescriptor DcUsbInterfaceDescriptor DCSyncAttempted Debug	-	IDM 객체에 매핑되지 않았습니다.
DefaultGatewayIP4	-	IDM 객체에 매핑되지 않았습니다.
DefaultGatewayIP6	-	IDM 객체에 매핑되지 않았습니다.
DefaultGatewayPhysicalAddress	-	IDM 객체에 매핑되지 않았습니다.
DeepHashBlacklistClassification DeepHashBlacklistVersion	-	IDM 객체에 매핑되지 않았습니다.
DeliverLocalFXToCloud DesiredAccess detectionId detectionName DetectDescription DetectId	-	IDM 객체에 매핑되지 않았습니다.
DetectName DeviceActiveConfigurationNumber	-	IDM 객체에 매핑되지 않았습니다.
DeviceConnectionStatus	-	IDM 객체에 매핑되지 않았습니다.
DeviceDescriptorNumber	-	IDM 객체에 매핑되지 않았습니다.
DeviceDescriptorSetHash	-	IDM 객체에 매핑되지 않았습니다.
DeviceDescriptorUniqueIdentifier	-	IDM 객체에 매핑되지 않았습니다.
DeviceId	-	IDM 객체에 매핑되지 않았습니다.
DeviceInstanceId	event.idm.read_only_udm.target.asset_id	Device Instance Id: 프리픽스가 붙습니다.
DeviceManufacturer DeviceProduct DeviceProductId	-	IDM 객체에 매핑되지 않았습니다.
DevicePropertyClassName	-	IDM 객체에 매핑되지 않았습니다.
DevicePropertyClassGuid	-	IDM 객체에 매핑되지 않았습니다.
DevicePropertyDeviceDescription DevicePropertyFriendlyName	-	IDM 객체에 매핑되지 않았습니다.
DevicePropertyLocationInformation DevicePropertyManufacturer	-	IDM 객체에 매핑되지 않았습니다.
DeviceProtocol	-	IDM 객체에 매핑되지 않았습니다.
DeviceSerialNumber DeviceTimeStamp DeviceType	-	IDM 객체에 매핑되지 않았습니다.
DeviceUsbClass	-	IDM 객체에 매핑되지 않았습니다.
DeviceUsbSubclass	-	IDM 객체에 매핑되지 않았습니다.
DeviceUsbVersion	-	IDM 객체에 매핑되지 않았습니다.
DeviceVendorId	-	IDM 객체에 매핑되지 않았습니다.
DeviceVersion	-	IDM 객체에 매핑되지 않았습니다.
DirectoryCreate DirectoryCreatedCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
DirectoryEnumeratedCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
DisableRealtimeMonitoring DisallowStartIfOnBatteries	-	IDM 객체에 매핑되지 않았습니다.
DisallowStartOnRemoteAppSession	-	IDM 객체에 매핑되지 않았습니다.
DiskParentDeviceInstanceId DllCharacteristics	-	IDM 객체에 매핑되지 않았습니다.
DllInjection DlpPolicy	-	IDM 객체에 매핑되지 않았습니다.
DlpVerdict	-	IDM 객체에 매핑되지 않았습니다.
DmpFileWritten DnsRequest DnsRequestCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
DnsResponseType	-	IDM 객체에 매핑되지 않았습니다.
DnsResponseTtl	-	IDM 객체에 매핑되지 않았습니다.
DocumentFileWrittenCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
DomainName	event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.network.dns.questions[0].name	DomainName가 null이 아니면 DomainName 값으로 호스트 이름 항목을 만들고 event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.network.dns.questions[0].name에 추가합니다.
DotnetModuleFlags	-	IDM 객체에 매핑되지 않았습니다.
DotnetModuleId	-	IDM 객체에 매핑되지 않았습니다.
DotnetModuleLoadDetectInfo DownloadPath	-	IDM 객체에 매핑되지 않았습니다.
DownloadPort	-	IDM 객체에 매핑되지 않았습니다.
DownloadServer DriverLoad DualRequest	-	IDM 객체에 매핑되지 않았습니다.
EffectiveTransmissionClass Effective	-	IDM 객체에 매핑되지 않았습니다.
EfiSupported	-	IDM 객체에 매핑되지 않았습니다.
EfiVariableCustomMode	-	IDM 객체에 매핑되지 않았습니다.
EfiVariableCustomModeAttributes	-	IDM 객체에 매핑되지 않았습니다.
EfiVariableDbAttributes	-	IDM 객체에 매핑되지 않았습니다.
EfiVariableDbxAttributes	-	IDM 객체에 매핑되지 않았습니다.
EfiVariableDbxSha256Hash	-	IDM 객체에 매핑되지 않았습니다.
EfiVariableKekAttributes	-	IDM 객체에 매핑되지 않았습니다.
EfiVariableKekSha256Hash	-	IDM 객체에 매핑되지 않았습니다.
EfiVariablePkAttributes	-	IDM 객체에 매핑되지 않았습니다.
EfiVariablePkSha256Hash	-	IDM 객체에 매핑되지 않았습니다.
EfiVariableSecureBoot	-	IDM 객체에 매핑되지 않았습니다.
EfiVariableSecureBootAttributes	-	IDM 객체에 매핑되지 않았습니다.
EfiVariableSetupMode	-	IDM 객체에 매핑되지 않았습니다.
EfiVariableSetupModeAttributes	-	IDM 객체에 매핑되지 않았습니다.
EfiVariableSignatureSupport	-	IDM 객체에 매핑되지 않았습니다.
EfiVariableSignatureSupportAttributes	-	IDM 객체에 매핑되지 않았습니다.
EndpointDescriptorAddress	-	IDM 객체에 매핑되지 않았습니다.
EndpointDescriptorAttributes	-	IDM 객체에 매핑되지 않았습니다.
EndpointDescriptorInterval	-	IDM 객체에 매핑되지 않았습니다.
EndpointDescriptorMaxPacketSize	-	IDM 객체에 매핑되지 않았습니다.
EndOfProcess Entitlements ErrorEvent ErrorCode	-	IDM 객체에 매핑되지 않았습니다.
ErrorLocation	-	IDM 객체에 매핑되지 않았습니다.
ErrorReason	-	IDM 객체에 매핑되지 않았습니다.
ErrorSource	-	IDM 객체에 매핑되지 않았습니다.
ErrorStatus	-	IDM 객체에 매핑되지 않았습니다.
ErrorText	-	IDM 객체에 매핑되지 않았습니다.
EventLogCleared EventMax	-	IDM 객체에 매핑되지 않았습니다.
EventMin	-	IDM 객체에 매핑되지 않았습니다.
EventOrigin	-	IDM 객체에 매핑되지 않았습니다.
EventType	event.idm.read_only_udm.metadata.product_event_type	event_simpleName이 null이고 EventType이 null이 아닌 경우 값이 EventType인 product_event_type 항목을 만들고 event.idm.read_only_udm.metadata.product_event_type에 추가합니다.
EtwErrorEvent EtwRawProcessId	-	IDM 객체에 매핑되지 않았습니다.
EtwRawThreadId	-	IDM 객체에 매핑되지 않았습니다.
ExecutableDeleted ExecutableDeletedCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
ExeAndServiceCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
ExitCode	-	IDM 객체에 매핑되지 않았습니다.
Exploit ExternalApiType	event.idm.read_only_udm.metadata.product_event_type, event.idm.read_only_udm.extensions.auth.auth_details	message에 event1가 포함된 경우 ExternalApiType의 이름이 event.idm.read_only_udm.metadata.product_event_type로 변경됩니다. 그렇지 않으면 이름이 event.idm.read_only_udm.extensions.auth.auth_details로 변경됩니다.
Facility	-	IDM 객체에 매핑되지 않았습니다.
FailedConnectCount	-	IDM 객체에 매핑되지 않았습니다.
FalconHostLink FalconServiceComponent	-	IDM 객체에 매핑되지 않았습니다.
FalconServiceServletErrors	-	IDM 객체에 매핑되지 않았습니다.
FalconServiceServletStarts	-	IDM 객체에 매핑되지 않았습니다.
FalconServiceState	-	IDM 객체에 매핑되지 않았습니다.
FalconServiceStatus FeatureExtractionVersion	-	IDM 객체에 매핑되지 않았습니다.
FeatureVector	-	IDM 객체에 매핑되지 않았습니다.
File	-	IDM 객체에 매핑되지 않았습니다.
FileAttributes	-	IDM 객체에 매핑되지 않았습니다.
FileCreateInfo FileDeletedCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
FileDeleteInfo FileEcpBitmask	-	IDM 객체에 매핑되지 않았습니다.
FileEventType	-	IDM 객체에 매핑되지 않았습니다.
FileIdentifier FileObject	-	IDM 객체에 매핑되지 않았습니다.
FileName FileOpenInfo FileRenameInfo FileSigningTime	-	IDM 객체에 매핑되지 않았습니다.
FirewallAction	-	IDM 객체에 매핑되지 않았습니다.
FirewallChangeOption FirewallDeleteRule FirewallDeleteRuleIP4 FirewallDeleteRuleIP6 FirewallEnabled FirewallOption FirewallOptionNumericValue	-	IDM 객체에 매핑되지 않았습니다.
FirewallProfile	-	IDM 객체에 매핑되지 않았습니다.
FirewallRule FirewallRuleId FirewallSetRule FirewallSetRuleIP4 FirewallSetRuleIP6 FirmwareAnalysisErrorEvent FirmwareAnalysisErrorLocation	-	IDM 객체에 매핑되지 않았습니다.
FirmwareAnalysisErrorReason	-	IDM 객체에 매핑되지 않았습니다.
FirmwareAnalysisErrorSource	-	IDM 객체에 매핑되지 않았습니다.
FirmwareAnalysisHardwareData FirmwareAnalysisStatus FirmwareAnalysisCpuSupported	-	IDM 객체에 매핑되지 않았습니다.
FirmwareAnalysisEclControlInterfaceVersion	-	IDM 객체에 매핑되지 않았습니다.
FirmwareAnalysisEclConsumerInterfaceVersion	-	IDM 객체에 매핑되지 않았습니다.
FirmwareImageAnalyzed FirmwareRegionMeasured FirmwareSize	-	IDM 객체에 매핑되지 않았습니다.
FirmwareType	-	IDM 객체에 매핑되지 않았습니다.
FirstDiscoveredDate	-	IDM 객체에 매핑되지 않았습니다.
FirstIP4Record Flags	-	IDM 객체에 매핑되지 않았습니다.
FltCallbackData	-	IDM 객체에 매핑되지 않았습니다.
FltCompletionContext	-	IDM 객체에 매핑되지 않았습니다.
FltRelatedObjects	-	IDM 객체에 매핑되지 않았습니다.
FontBuffer	-	IDM 객체에 매핑되지 않았습니다.
FontBufferLength	-	IDM 객체에 매핑되지 않았습니다.
FontFileCount	-	IDM 객체에 매핑되지 않았습니다.
FontFileName FontLoadOperation	-	IDM 객체에 매핑되지 않았습니다.
FsOperationBlocked	event1.PatternDispositionFlags.FsOperationBlocked	Event_DetectionSummaryEvent의 일부입니다.
FsPostOpenSnapshotFile FsVolumeMounted FsVolumeUnmounted FullContext	-	IDM 객체에 매핑되지 않았습니다.
FullExceptionRecord	-	IDM 객체에 매핑되지 않았습니다.
GcpCreationTimestamp GenericFileWrittenCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
GID	-	IDM 객체에 매핑되지 않았습니다.
GrandparentCommandLine GrandparentImageFileName GrandParentBaseFileName GroupIdentity GroupRid GzipFileWritten HandleCreated	-	IDM 객체에 매핑되지 않았습니다.
HIDDescriptorCountryCode	-	IDM 객체에 매핑되지 않았습니다.
HIDDescriptorNumDescriptors	-	IDM 객체에 매핑되지 않았습니다.
HIDDescriptorVersion	-	IDM 객체에 매핑되지 않았습니다.
HIPHandlers.dll	event.idm.read_only_udm.target.file.full_path	TargetFileName의 일부입니다.
HostGroups	-	IDM 객체에 매핑되지 않았습니다.
HostHiddenStatus HostInfo HostnameChanged hostname HostProcessType	-	IDM 객체에 매핑되지 않았습니다.
HostUrl HttpRequestDetect HttpRequestHeader HttpUrl IcmpCode	-	IDM 객체에 매핑되지 않았습니다.
IcmpType	-	IDM 객체에 매핑되지 않았습니다.
id IdleSettings	-	IDM 객체에 매핑되지 않았습니다.
ImageFileName ImageSubsystem	-	IDM 객체에 매핑되지 않았습니다.
Image	-	IDM 객체에 매핑되지 않았습니다.
ImpersonatedUserName InBroadcastOctets	-	IDM 객체에 매핑되지 않았습니다.
InContext	-	IDM 객체에 매핑되지 않았습니다.
InDiscards	-	IDM 객체에 매핑되지 않았습니다.
Indicator	event1.PatternDispositionFlags.Indicator	Event_DetectionSummaryEvent의 일부입니다.
InddetMask	event1.PatternDispositionFlags.InddetMask	Event_DetectionSummaryEvent의 일부입니다.
InErrors	-	IDM 객체에 매핑되지 않았습니다.
Information	-	IDM 객체에 매핑되지 않았습니다.
InjectedDll InjectedThread InjectedThreadCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
InjectedThreadFlag	-	IDM 객체에 매핑되지 않았습니다.
InMulticastOctets	-	IDM 객체에 매핑되지 않았습니다.
InNUcastPkts	-	IDM 객체에 매핑되지 않았습니다.
InOctets	-	IDM 객체에 매핑되지 않았습니다.
InstallDate	-	IDM 객체에 매핑되지 않았습니다.
InstalledApplication InstalledUpdateExtendedStatus	-	IDM 객체에 매핑되지 않았습니다.
InstalledUpdateIds	-	IDM 객체에 매핑되지 않았습니다.
InstalledUpdates InstanceMetadata InstanceMetadataProvider	-	IDM 객체에 매핑되지 않았습니다.
InstanceMetadataRequest	-	IDM 객체에 매핑되지 않았습니다.
InstanceMetadataSignature	-	IDM 객체에 매핑되지 않았습니다.
InUcastOctets	-	IDM 객체에 매핑되지 않았습니다.
InUcastPkts	-	IDM 객체에 매핑되지 않았습니다.
InUnknownProtos	-	IDM 객체에 매핑되지 않았습니다.
IntegrityLevel	-	IDM 객체에 매핑되지 않았습니다.
InterfaceAlias	-	IDM 객체에 매핑되지 않았습니다.
InterfaceDescription	-	IDM 객체에 매핑되지 않았습니다.
InterfaceFlags	-	IDM 객체에 매핑되지 않았습니다.
InterfaceGuid	-	IDM 객체에 매핑되지 않았습니다.
InterfaceIdentifier	-	IDM 객체에 매핑되지 않았습니다.
InterfaceIndex	-	IDM 객체에 매핑되지 않았습니다.
InterfaceMtu	-	IDM 객체에 매핑되지 않았습니다.
InterfaceType	-	IDM 객체에 매핑되지 않았습니다.
InterfaceVersion	-	IDM 객체에 매핑되지 않았습니다.
InjectedDllCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
InjectedThreadFlag	-	IDM 객체에 매핑되지 않았습니다.
InkDiv.dll	event.idm.read_only_udm.target.file.full_path	ExecutablesWritten의 일부입니다.
InkObj.dll	event.idm.read_only_udm.target.file.full_path	ExecutablesWritten의 일부입니다.
InMulticastPkts	-	IDM 객체에 매핑되지 않았습니다.
InOctets	-	IDM 객체에 매핑되지 않았습니다.
InUcastPkts	-	IDM 객체에 매핑되지 않았습니다.
IOARuleGroupName IOARuleInstanceID	-	IDM 객체에 매핑되지 않았습니다.
IOARuleInstanceVersion	-	IDM 객체에 매핑되지 않았습니다.
IOARuleName IOServiceClass	-	IDM 객체에 매핑되지 않았습니다.
IOServiceName	-	IDM 객체에 매핑되지 않았습니다.
IOServicePath	-	IDM 객체에 매핑되지 않았습니다.
IOServiceProperties	-	IDM 객체에 매핑되지 않았습니다.
IOServiceRegister IoSessionConnected IoSessionLoggedOn IpEntryFlags	-	IDM 객체에 매핑되지 않았습니다.
IrpFlags	-	IDM 객체에 매핑되지 않았습니다.
IsCpuDataCommonOnAllCores	-	IDM 객체에 매핑되지 않았습니다.
IsNorthBridgeSupported	-	IDM 객체에 매핑되지 않았습니다.
IsOnClearCaseMvfs	-	IDM 객체에 매핑되지 않았습니다.
IsOnNetwork IsOnRemovableDisk IsOn	-	IDM 객체에 매핑되지 않았습니다.
IsRemote	-	IDM 객체에 매핑되지 않았습니다.
IsSouthBridgeSupported	-	IDM 객체에 매핑되지 않았습니다.
IsTransactedFile	-	IDM 객체에 매핑되지 않았습니다.
IsUnique	-	IDM 객체에 매핑되지 않았습니다.
JavaInjectedThread JarFileWritten KernelModeLoadImage KernelTime	-	IDM 객체에 매핑되지 않았습니다.
KextUnload K8SCreationTimestamp K8SDetectionEvent LanguageId	-	IDM 객체에 매핑되지 않았습니다.
LastAdded	-	IDM 객체에 매핑되지 않았습니다.
LastDiscoveredBy	-	IDM 객체에 매핑되지 않았습니다.
LastDisplayed	-	IDM 객체에 매핑되지 않았습니다.
LastLoggedOnHost	-	IDM 객체에 매핑되지 않았습니다.
LastUpdateInstalledTime	-	IDM 객체에 매핑되지 않았습니다.
LateralMovement	-	IDM 객체에 매핑되지 않았습니다.
LdapSearchAttributes	-	IDM 객체에 매핑되지 않았습니다.
LdapSearchBaseObjectSample	-	IDM 객체에 매핑되지 않았습니다.
LdapSearchFilterSample	-	IDM 객체에 매핑되지 않았습니다.
LdapSearchFilterShape	-	IDM 객체에 매핑되지 않았습니다.
LdapSearchQueryClassification	-	IDM 객체에 매핑되지 않았습니다.
LdapSearchQueryToken	-	IDM 객체에 매핑되지 않았습니다.
LdapSearchScope	-	IDM 객체에 매핑되지 않았습니다.
LdapSearchSizeLimit	-	IDM 객체에 매핑되지 않았습니다.
LdapSecurityType	-	IDM 객체에 매핑되지 않았습니다.
LightningLatencyInfo LightningLatencyState	-	IDM 객체에 매핑되지 않았습니다.
Line	-	IDM 객체에 매핑되지 않았습니다.
LinkLocalAddressBehavior	-	IDM 객체에 매핑되지 않았습니다.
LinkLocalAddressTimeout	-	IDM 객체에 매핑되지 않았습니다.
LinkName LocalAccount	-	IDM 객체에 매핑되지 않았습니다.
LocalAddressIP4 LocalAddressIP6 LocalAddressMaskIP4	-	IDM 객체에 매핑되지 않았습니다.
LocalAddressMaskIP6	-	IDM 객체에 매핑되지 않았습니다.
LocalAdminAccess	-	IDM 객체에 매핑되지 않았습니다.
LocalIpAddressIP4 LocalIpAddressIP6 LocalIpAddressRemovedIP4 LocalIpAddressRemovedIP6 LocalPort LocalSession	-	IDM 객체에 매핑되지 않았습니다.
localipCount LockScreenEnabled	-	IDM 객체에 매핑되지 않았습니다.
LockScreenStatus LogoffTime LogonDomain LogonId	-	IDM 객체에 매핑되지 않았습니다.
LogonInfo	security_result.summary	event_type을 USER_LOGIN로 설정합니다.
LogonServer LogonTime LogonType	event.idm.read_only_udm.extensions.auth.mechanism	LogonType 값을 기반으로 UDM enum 값에 매핑됩니다.
LogoffTime LsassHandleFromUnsignedModule MAC	event.idm.read_only_udm.principal.mac	소문자로 변환되고 콜론은 하이픈으로 대체됩니다.
MACAddress	event.idm.read_only_udm.principal.mac	하이픈은 콜론으로 대체됩니다.
MACPrefix	-	IDM 객체에 매핑되지 않았습니다.
MachOFileWritten MachOSubType	-	IDM 객체에 매핑되지 않았습니다.
MachineDn MachineDomain MajorFunction	-	IDM 객체에 매핑되지 않았습니다.
MajorVersion	-	IDM 객체에 매핑되지 않았습니다.
Malicious	-	IDM 객체에 매핑되지 않았습니다.
ManagedPdbBuildPath MappedFromUserMode	-	IDM 객체에 매핑되지 않았습니다.
MaxReassemblySize	-	IDM 객체에 매핑되지 않았습니다.
MaxRouterAdvertisementInterval	-	IDM 객체에 매핑되지 않았습니다.
MaxThreadCount	-	IDM 객체에 매핑되지 않았습니다.
MD5HashData	event.idm.read_only_udm.target.file.md5, event.idm.read_only_udm.target.process.file.md5	MD5HashData가 유효한 MD5 해시이고 전부가 0이 아닌 경우 값이 MD5HashData인 MD5 해시 항목을 만들고 event.idm.read_only_udm.target.file.md5 및 event.idm.read_only_udm.target.process.file.md5에 추가합니다.
MD5String MediaConnectState	-	IDM 객체에 매핑되지 않았습니다.
MediaType	-	IDM 객체에 매핑되지 않았습니다.
MemoryAvailable	-	IDM 객체에 매핑되지 않았습니다.
MemoryRegionProtection	-	IDM 객체에 매핑되지 않았습니다.
MemoryRegionStart	-	IDM 객체에 매핑되지 않았습니다.
MemoryTotal	-	IDM 객체에 매핑되지 않았습니다.
MmioDataSmiEn	-	IDM 객체에 매핑되지 않았습니다.
MmioDataTco1Cnt	-	IDM 객체에 매핑되지 않았습니다.
MLModelVersion	-	IDM 객체에 매핑되지 않았습니다.
MobileDetection MobileDetectionId	-	IDM 객체에 매핑되지 않았습니다.
MobileOsIntegrityIntact	-	IDM 객체에 매핑되지 않았습니다.
MobileOsIntegrityStatus MobilePowerStats MoboManufacturer	-	IDM 객체에 매핑되지 않았습니다.
MoboProductName	-	IDM 객체에 매핑되지 않았습니다.
ModelPrediction	-	IDM 객체에 매핑되지 않았습니다.
ModuleBaseAddress	-	IDM 객체에 매핑되지 않았습니다.
ModuleCharacteristics	-	IDM 객체에 매핑되지 않았습니다.
ModuleDetectInfo ModuleLoadCount	-	IDM 객체에 매핑되지 않았습니다.
ModuleLoadMechanism	-	IDM 객체에 매핑되지 않았습니다.
ModuleLoadTelemetryClassification	-	IDM 객체에 매핑되지 않았습니다.
ModuleNativePath	-	IDM 객체에 매핑되지 않았습니다.
ModuleSize	-	IDM 객체에 매핑되지 않았습니다.
ModifyServiceBinary MostRecentActivityTimeStamp	-	IDM 객체에 매핑되지 않았습니다.
MotwWritten mskssrv.sys	event.idm.read_only_udm.principal.process.file.full_path	OriginalFilename의 일부입니다.
MultipleInstancesPolicy	-	IDM 객체에 매핑되지 않았습니다.
name namespace NativePdbBuildPath	-	IDM 객체에 매핑되지 않았습니다.
NegateInterface	-	IDM 객체에 매핑되지 않았습니다.
NegateLocalAddress	-	IDM 객체에 매핑되지 않았습니다.
NegateRemoteAddress	-	IDM 객체에 매핑되지 않았습니다.
NeighborList	-	IDM 객체에 매핑되지 않았습니다.
NeighborListIP4 NeighborListIP6 NeighborName NetLuidIndex	-	IDM 객체에 매핑되지 않았습니다.
NetShareAdd NetShareDelete NetShareSecurityModify NetworkBindCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
NetworkCapableAsepWriteCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
NetworkCloseCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
NetworkCloseIP4 NetworkCloseIP6 NetworkConnectCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
NetworkConnectCountUdp	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
NetworkConnectIP4 NetworkConnectIP6 NetworkContainmentState NetworkInterfaceGuid	-	IDM 객체에 매핑되지 않았습니다.
NetworkListenCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
NetworkListenIP4 NetworkListenIP6 NetworkModuleLoadCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
NetworkRecvAcceptCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
NetworkReceiveAcceptIP4 NetworkReceiveAcceptIP6 NewExecutableRenamed NewExecutableWritten NewExecutableWrittenCount	security_result.detection_fields[0].value	EndOfProcess 이벤트의 일부입니다.
NewFileIdentifier	-	IDM 객체에 매핑되지 않았습니다.
NewScriptWritten NlMtu	-	IDM 객체에 매핑되지 않았습니다.
NorthBridgeDeviceId	-	IDM 객체에 매핑되지 않았습니다.
NorthBridgeVendorId	-	IDM 객체에 매핑되지 않았습니다.
NumberOfMeasurements	-	IDM 객체에 매핑되지 않았습니다.
OciContainerId	-	IDM 객체에 매핑되지 않았습니다.
OciContainerTelemetry OciContainersStartedCount	-	IDM 객체에 매핑되지 않았습니다.
OciContainersStoppedCount	-	IDM 객체에 매핑되지 않았습니다.
OleFileWritten OnLinkPrefixLength	-	IDM 객체에 매핑되지 않았습니다.
OoxmlFileWritten OperStatus	-	IDM 객체에 매핑되지 않았습니다.
OperationFlags	-	IDM 객체에 매핑되지 않았습니다.
OperationName OriginalContentLength	-	IDM 객체에 매핑되지 않았습니다.
OriginalEventTimeStamp	-	IDM 객체에 매핑되지 않았습니다.
OriginalFilename OriginalParentAuthenticationId	-	IDM 객체에 매핑되지 않았습니다.
OriginalUserName OriginalUserSid OsfmDownloadComplete OsVersionInfo OU OutBroadcastOctets	-	IDM 객체에 매핑되지 않았습니다.
OutDiscards	-	IDM 객체에 매핑되지 않았습니다.
OutErrors	-	IDM 객체에 매핑되지 않았습니다.
OutMulticastOctets	-	IDM 객체에 매핑되지 않았습니다.
OutNUcastPkts	-	IDM 객체에 매핑되지 않았습니다.
OutOctets	-	IDM 객체에 매핑되지 않았습니다.
OutUcastOctets	-	IDM 객체에 매핑되지 않았습니다.
OutUcastPkts	-	IDM 객체에 매핑되지 않았습니다.
PackedExecutableWritten Parameter64_1	-	IDM 객체에 매핑되지 않았습니다.
Parameter64_2	-	IDM 객체에 매핑되지 않았습니다.
Parameter64_3	-	IDM 객체에 매핑되지 않았습니다.
ParameterSizedBuffer_1	-	IDM 객체에 매핑되지 않았습니다.
Parameter1	-	IDM 객체에 매핑되지 않았습니다.
Parameter2	-	IDM 객체에 매핑되지 않았습니다.
Parameter3	-	IDM 객체에 매핑되지 않았습니다.
ParentAuthenticationId	-	IDM 객체에 매핑되지 않았습니다.
ParentBaseFileName ParentCommandLine	event1.ParentCommandLine	Event_DetectionSummaryEvent의 일부입니다.
ParentHubInstanceId	-	IDM 객체에 매핑되지 않았습니다.
ParentHubPort	-	IDM 객체에 매핑되지 않았습니다.
ParentImageFileName	event.idm.read_only_udm.principal.process.file.full_path, event1.ParentImageFileName	Event_DetectionSummaryEvent의 일부입니다.
ParentProcessId	event.idm.read_only_udm.principal.process.product_specific_process_id, event1.ParentProcessId	CS:%{cid}:%{aid}: 프리픽스가 붙습니다. Event_DetectionSummaryEvent의 일부입니다.
PasswordLastSet	-	IDM 객체에 매핑되지 않았습니다.
PathMtuDiscoveryTimeout	-	IDM 객체에 매핑되지 않았습니다.
PatternDispositionFlags	-	IDM 객체에 매핑되지 않았습니다.
PatternDispositionValue `PatternDisposition

변경사항

2025-02-25

• 다음과 같이 이벤트 FileIntegrityMonitorRuleMatched 매핑을 추가했습니다. ObjectType 필드의 값을 기반으로 ObjectName 필드를 target.file.full_path, target.registry.registry_value_data, 및 target.registry.registry_key UDM 필드에 매핑했습니다.

2025-02-07

개선사항:

• detectName를 security_result.threatname에 매핑했습니다.

2025-01-31

• 원시 로그 필드 ProcessId 및 ParentProcessId 내에서 큰 정수 값의 특이 사례를 처리했습니다.
• aid 원시 로그 필드가 없는 경우 UDM 필드 principal.process.product_specific_process_id의 매핑에 AgendIdString 필드를 추가했습니다.
• aid 원시 로그 필드가 없는 경우 UDM 필드 principal.process.parent_process.product_specific_process_id의 매핑에 AgendIdString 필드를 추가했습니다.

2025-01-17

• 원시 로그 필드 ProcessId 및 ParentProcessId 내에서 큰 정수 값을 지원하도록 gsub를 추가했습니다.

2025-01-16

개선사항:

• EventOrigin, id, KerberosRequestTicketCreationTimeSample, ActiveDirectoryDataProtocol, KerberosRequestTicketValidityPeriod, LdapSearchBaseObjectSample, LdapSearchSizeLimit, DebugInfoUnicode, LdapSecurityType, ActiveDirectoryAuthenticationMethod, SourceAccountType, AggregationEarliestTimestamp, AggregationWindowTimestamp, LdapSearchQueryToken, LdapSearchScope를 security_result.detection_fields에 매핑했습니다.
• SourceEndpointNetworkTag를 security_result.description에 매핑했습니다.
• LocalPortSample를 principal.port에 매핑했습니다.
• RemotePortSample를 target.port에 매핑했습니다.
• LocalAddressIP4Sample를 principal.ip 및 principal.asset.ip에 매핑했습니다.
• LdapSearchFilterShape, TargetAccountType, KerberosAnomaly, LdapSearchQueryClassification, LdapSearchAttributes를 additional.fields에 매핑했습니다.

2025-01-09

개선사항:

• 새 이벤트 InstalledBrowserExtension 지원을 추가했습니다.

2024-12-19

개선사항:

• FileOperatorSid이 유효한 Windows SID인 경우 target.user.windows_sid에 매핑했습니다.

2024-12-18

개선사항:

• OriginalFilename 매핑을 principal.process.file.full_path에서 target.process.file.exif_info.original_file로 변경했습니다.
• ParentBaseFileName 매핑을 principal.process.file.full_path에서 principal.process.file.names로 변경했습니다.
• OriginalFilename 매핑을 principal.process.file.exif_info.original_file에서 target.process.file.exif_info.original_file로 변경했습니다.

2024-12-04

개선사항:

• ConfigurationDescriptorName, DeviceDescriptorUniqueIdentifier, DeviceVendorId, DeviceUsbClass, ConfigurationDescriptorNumInterfaces, ConfigurationDescriptorMaxPowerDraw, ConfigurationDescriptorAttributes를 security_result.detection_fields에 매핑했습니다.
• DeviceDescriptorSetHash를 target.file.sha256에 매핑했습니다.

2024-10-29

버그 수정:

• 이미 src.file.full_path에 매핑되어 있으므로 FILE_MOVE, FILE_MODIFICATION, FILE_READ 이벤트의 SourceFileName 매핑을 principal.process.file.full_path로 삭제했습니다.

2024-10-09

개선사항:

• SmbNamedPipeName를 security_result.detection_fields에 매핑했습니다.
• RequestType를 network.dns.question.type에 매핑했습니다.
• QueryStatus를 network.dns.response_code에 매핑했습니다.
• IP4Records, IP6Records, CNAMERecords를 network.dns.answer.name에 매핑했습니다.

2024-09-24

개선사항:

• IP 주소를 principal.hostname로 파싱하지 않도록 하는 Grok 패턴을 추가했습니다.

2024-09-19

개선사항:

• HttpRequest를 target.ip에 매핑했습니다.
• HttpHost를 target.hostname에 매핑했습니다.
• HttpPath를 target.url에 매핑했습니다.

2024-09-19

개선사항:

• HttpRequest를 target.ip에 매핑했습니다.
• HttpHost를 target.hostname에 매핑했습니다.
• HttpPath를 target.url에 매핑했습니다.

2024-09-12

개선사항:

• ContextImageFileName가 null이 아닌 FILE_CREATION 이벤트의 경우 ContextImageFileName를 principal.process.file.full_path에 매핑했습니다.
• OriginalFilename 매핑을 target.process.file.exif_info.original_file에서 principal.process.file.exif_info.original_file로 변경했습니다.

2024-09-10

• JSON 로그의 새로운 패턴에 대한 지원이 추가되었습니다.
• FileVersion 및 FixedFileVersion를 additional.fields에 매핑했습니다.

2024-09-03

개선사항:

• timestamp를 metadata.event_timestamp에 매핑했습니다.

2024-08-29

버그 수정:

• TaskExecCommand가 null인 경우 케이스를 처리하도록 on_error를 추가했습니다.

2024-08-20

개선사항:

• IsOnRemovableDisk, RegOperationType, RegType를 additional.fields에 매핑했습니다.

2024-08-06

개선사항:

• tar_user를 target.user.userid에 매핑했습니다.

2024-07-24

개선사항:

• LocalAddressIP4 매핑을 target.ip에서 principal.ip로 변경했습니다.
• direction가 INBOUND이면 RemoteAddressIP4 매핑을 principal.ip에서 src.ip로 변경했습니다.
• direction가 OUTBOUND이면 RemoteAddressIP4 매핑을 principal.ip에서 target.ip로 변경했습니다.

2024-07-08

개선사항:

• Description를 security_result.description에 매핑했습니다.
• Name를 security_result.threat_name에 매핑했습니다.
• CompositeId를 additional.fields에 매핑했습니다.
• id를 metadata.product_log_id에 매핑했습니다.

2024-06-25

개선사항:

• SourceFileName를 principal.process.file.full_path에 매핑했습니다.
• OdsFileName 및 ImageFileName를 target.process.file.full_path에 매핑했습니다.
• event_simpleName가 MotwWritten이면 metadata.event_type를 FILE_CREATION에 매핑합니다.

2024-06-06

개선사항:

• OriginalFilename를 target.process.file.exif_info.original_file에 매핑했습니다.

2024-05-31

개선사항:

• os_version를 principal.platform_version에 매핑했습니다.
• hostname를 principal.hostname 및 principal.asset.hostname에 매핑했습니다.
• product_type_desc, host_hidden_status, scores.os, scores.sensor, scores.version, scores.overall, scores.modified_time를 security_result.detection_fields에 매핑했습니다.

2024-05-23

개선사항:

• Version를 principal.platform_version에 매핑했습니다.

2024-05-21

개선사항:

• event_simpleName이 FileWritten, NetworkConnect 또는 DnsRequest인 경우 ContextBaseFileName를 principal.process.file.full_path에 매핑했습니다.
• QuarantinedFileName를 principal.process.file.full_path에 매핑했습니다.

2024-05-15

개선사항:

• Version, BiosVersion, ChassisType를 principal.asset.attribute.labels에 매핑했습니다.
• Continent, OU, SiteName를 additional.fields에 매핑했습니다.

2024-04-17

개선사항:

• ModuleILPath를 target.resource.attribute.labels에 매핑했습니다.

2024-04-08

버그 수정:

• event_simpleName이 ClassifiedModuleLoad이면 metadata.event_type를 STATUS_UPDATE에서 PROCESS_MODULE_LOAD로 변경했습니다.

2024-02-21

개선사항:

• SubjectDN를 security_result.about.artifact.last_https_certificate.subject에 매핑했습니다.
• IssuerDN를 security_result.about.artifact.last_https_certificate.issuer에 매핑했습니다.
• SubjectCertValidTo를 security_result.about.artifact.last_https_certificate.validity.issue_time에 매핑했습니다.
• SubjectCertValidFrom를 security_result.about.artifact.last_https_certificate.validity.expiry_time에 매핑했습니다.
• SubjectSerialNumber를 security_result.about.artifact.last_https_certificate.serial_number에 매핑했습니다.
• SubjectVersion를 security_result.about.artifact.last_https_certificate.version에 매핑했습니다.
• SubjectCertThumbprint를 security_result.about.artifact.last_https_certificate.thumbprint에 매핑했습니다.
• SignatureDigestAlg를 security_result.about.artifact.last_https_certificate.signature_algorithm에 매핑했습니다.
• SignatureDigestEncryptAlg를 security_result.about.artifact.last_https_certificate.cert_signature.signature_algorithm에 매핑했습니다.
• AuthenticodeHashData를 target.file.authentihash에 매핑했습니다.
• AuthorityKeyIdentifier를 security_result.about.artifact.last_https_certificate.extension.authority_key_id.keyid 및 security_result.about.artifact.last_https_certificate.cert_extensions.fields에 매핑했습니다.
• SubjectKeyIdentifier를 security_result.about.artifact.last_https_certificate.extension.subject_key_id 및 security_result.about.artifact.last_https_certificate.cert_extensions.fields에 매핑했습니다.
• OriginalFilename를 additional.fields에 매핑했습니다.
• SignInfoFlagUnknownError, SignInfoFlagHasValidSignature, SignInfoFlagSignHashMismatch, AuthenticodeMatch, SignInfoFlagMicrosoftSigned, SignInfoFlagNoSignature, SignInfoFlagInvalidSignChain, SignInfoFlagNoCodeKeyUsage, SignInfoFlagNoEmbeddedCert, SignInfoFlagThirdPartyRoot, SignInfoFlagCatalogSigned, SignInfoFlagSelfSigned, SignInfoFlagFailedCertCheck, SignInfoFlagEmbeddedSigned, IssuerCN, SubjectCN를 security_result.detection_fields에 매핑했습니다.

2023-12-22

• HostUrl를 target.url에 매핑했습니다.
• ReferrerUrl를 network.http.referral_url에 매핑했습니다.

2023-11-23

• is_alert가 true로 설정되면 event.idm.is_significant를 true에 매핑했습니다.
• is_alert가 true로 설정되면 event_simpleName를 security_result.summary에 매핑했습니다.

2023-10-11

• SHA1, MD5, SHA256 값을 검증하는 정규 표현식 검사를 추가했습니다.

2023-08-22

• Technique를 security_result.attack_details.techniques.name 및 해당 기술 및 전술 세부정보에 매핑했습니다.

2023-08-03

개선사항:

• ReflectiveDllName를 target.file.full_path에 매핑했습니다.
• DomainName 필드가 없는 로그의 경우 event_type를 STATUS_UPDATE에 매핑했습니다.

2023-08-01

• Tactic를 security_result.attack_details.tactics.name 및 상응하는 tactics.id에 매핑했습니다.

2023-07-31

버그 수정:

• 날짜 필터에 대한 on_error 검사를 추가했습니다.

2023-06-19

• ParentBaseFileName를 principal.process.file.full_path에 매핑했습니다.
• ProcessRollup2 및 SyntheticProcessRollup2 이벤트의 경우 이미 target.process.file.full_path에 매핑되어 있으므로 ImageFileName를 target.file.full_path에 매핑하는 작업이 삭제되었습니다.

2023-05-12

개선사항:

• 'aip'가 'intermediary.ip'에 매핑되었습니다.

2023-05-08

버그 수정:

• 시간 형식을 문자열로 변환하고 나노초 시간 형식을 처리했습니다.

2023-04-14

개선사항:

• range[0-19] 의 Severity 값을 security_result.severity에서 INFORMATIONAL로 수정했습니다.
• range[20-39] 의 Severity 값을 security_result.severity에서 LOW로 수정했습니다.
• range[40-59] 의 Severity 값을 security_result.severity에서 MEDIUM로 수정했습니다.
• range[60-79] 의 Severity 값을 security_result.severity에서 HIGH로 수정했습니다.
• range[80-100] 의 Severity 값을 security_result.severity에서 CRITICAL로 수정했습니다.
• PatternId를 security_result.detection_fields에 매핑했습니다.
• SourceEndpointIpAddress를 principal.ip에 매핑했습니다.
• event_simpleName =~ userlogonfailed 및 사용자 정보가 없는 경우 metadata.event_type를 USER_UNCATEGORIZED에 매핑했습니다.
• ExternalApiType =Event_UserActivityAuditEvent`` 이고 사용자 정보가 있는 경우 metadata.event_type를 USER_UNCATEGORIZED에 매핑했습니다.
• event_simpleName =~ActiveDirectory`인 경우 metadata.event_type를 USER_UNCATEGORIZED에 매핑했습니다.
• TargetAccountObjectGuid를 additional.fields에 매핑했습니다.
• TargetDomainControllerObjectGuid를 additional.fields에 매핑했습니다.
• TargetDomainControllerObjectSid를 additional.fields에 매핑했습니다.
• AggregationActivityCount를 additional.fields에 매핑했습니다.
• TargetServiceAccessIdentifier를 additional.fields에 매핑했습니다.
• SourceAccountUserPrincipal를 principal.user.userid에 매핑했습니다.
• SourceEndpointAddressIP4를 principal.ip에 매핑했습니다.
• SourceAccountObjectGuid를 additional.fields에 매핑했습니다.
• AccountDomain를 principal.administrative_domain에 매핑했습니다.
• AccountObjectGuid를 metadata.product_log_id에 매핑했습니다.
• AccountObjectSid를 principal.user.windows_sid에 매핑했습니다.
• SamAccountName를 principal.user.user_display_name에 매핑했습니다.
• SourceAccountSamAccountName를 principal.user.user_display_name에 매핑했습니다.
• IOARuleGroupName를 security_result.detection_fields에 매핑했습니다.
• IOARuleName를 security_result.detection_fields에 매핑했습니다.
• event_simpleName=RegCredAccessDetectInfo인 경우 RemoteAddressIP4를 target.ip에 매핑했습니다.

2023-03-24

• id를 target.resource.id 대신 metadata.product_log_id에 매핑했습니다.
• RegNumericValue와 RegStringValue가 모두 null인 경우 RegBinaryValue를 target.registry.registry_value_data에 매핑했습니다.

2023-03-21

개선사항:

• BatchTimestamp, GcpCreationTimestamp, K8SCreationTimestamp, AwsCreationTimestamp를 metadata.event_timestamp에 매핑했습니다.
• FileOperatorSid를 target.user.windows_sid에 매핑했습니다.

2023-03-13

개선사항:

• LogonTime, ProcessStartTime, ContextTimeStamp, ContextTimeStamp_decimal, AccountCreationTimeStamp를 metadata.event_timestamp에 매핑했습니다.

2023-03-10

개선사항:

• CallStackModuleNamesVersion,CallStackModuleNamesVersion를 security_result.detection_fields에 매핑했습니다.

2023-02-28

개선사항:

• event_simpleName가 [ProcessRollup2, SyntheticProcessRollup2]인 경우 ParentProcessId 필드의 다음 매핑을 수정했습니다.
• target.process.parent_process.pid이(가) target.process.parent_process.product_specific_process_id로 수정되었습니다.

2023-02-16

개선사항:

• AssociatedFile 필드를 security_result.detection_fields[n].value에 매핑하고 security_result.detection_fields[n].key를 AssociatedIOCFile에 매핑했습니다.

2023-02-09

개선사항:

• target.labels 아래에 매핑되는 필드를 target.resource.attribute.labels로 다시 매핑했습니다.
• ManagedPdbBuildPath를 target.resource.attribute.labels에 매핑하도록 수정했습니다.

2023-02-09

개선사항:

• target.labels 아래에 매핑되는 필드를 target.resource.attribute.labels로 다시 매핑했습니다.
• ManagedPdbBuildPath를 target.resource.attribute.labels에 매핑하도록 수정했습니다.

2023-01-15

버그 수정:

• UserLogonFailed 이벤트의 aid를 principal.asset_id에서 target.asset_id로 다시 매핑했습니다.

2023-01-13

개선사항:

• event_type ScheduledTaskModified 및 ScheduledTaskRegistered의 경우 principal.user.userid에 매핑된 사용자 이름입니다.
• metadata.product_event_type = ReflectiveDotnetModuleLoad인 경우 AssemblyName,ManagedPdbBuildPath,ModuleILPath가 target.labels에 매핑됨
• VirtualDriveFileName,VolumeName: metadata.product_event_type = RemovableMediaVolumeMounted인 경우 target.labels에 매핑됨
• metadata.product_event_type = ClassifiedModuleLoad인 경우 ImageFileName가 target.file.full_path에 매핑됨

2023-01-13

개선사항:

• event_type ScheduledTaskModified 및 ScheduledTaskRegistered의 경우 principal.user.userid에 매핑된 사용자 이름입니다.
• metadata.product_event_type = ReflectiveDotnetModuleLoad인 경우 AssemblyName,ManagedPdbBuildPath,ModuleILPath가 target.labels에 매핑됨
• VirtualDriveFileName,VolumeName: metadata.product_event_type = RemovableMediaVolumeMounted인 경우 target.labels에 매핑됨
• metadata.product_event_type = ClassifiedModuleLoad인 경우 ImageFileName가 target.file.full_path에 매핑됨

2023-01-02

개선사항:

• event_type ScheduledTaskModified 및 ScheduledTaskRegistered의 경우 principal.user.userid에 매핑된 사용자 이름입니다.

2022-12-22

개선사항:

• event_type=Userlogonfailed2의 경우 RemoteAddressIP4를 principal.ip에 매핑했습니다.

2022-11-04

개선사항:

• GrandparentImageFileName를 principal.process.parent_process.parent_process.file.full_path에 매핑했습니다.
• GrandparentCommandLine를 principal.process.parent_process.parent_process.commamdLine에 매핑함

2022-11-03

버그 수정:

• event_simpleName이 InstalledApplication이면 아래 매개변수가 매핑됩니다.
• AppName를 principal.asset.software.name에 매핑했습니다.
• AppVersion를 principal.asset.software.version에 매핑했습니다.

2022-10-12

버그 수정:

• discoverer_aid를 resource.attribute.labels에 매핑했습니다.
• NeighborName를 intermediary.hostname에 매핑했습니다.
• subnet를 additional.fields에 매핑했습니다.
• localipCount를 additional.fields에 매핑했습니다.
• aipCount를 additional.fields에 매핑했습니다.
• LogonServer에 대한 조건부 검사를 추가했습니다.

2022-10-07

버그 수정:

• CommandLine 매핑을 principal.process.command_line에서 target.process.command_line로 변경했습니다.

2022-09-13

버그 수정:

• RegOperationType이 3인 경우 metadata.event_type을 REGISTRY_CREATION에 매핑했습니다.
• RegOperationType이 4 또는 102인 경우 event_type을 REGISTRY_DELETION에 매핑했습니다.
• RegOperationType가 5,7,9,101 또는 1인 경우 event_type을 REGISTRY_MODIFICATION에 매핑했습니다.
• RegOperationType가 null이 아니고 위의 모든 경우에 해당하지 않는 경우 event_type을 REGISTRY_UNCATEGORIZED에 매핑했습니다.

2022-09-02

개선사항:

• statedata에서 UserPrincipal 필드를 정의합니다.

2022-08-30

개선사항:

• statedata에서 UserPrincipal 필드를 정의했습니다.

2022-08-21

개선사항:

• ActivityId를 additional.fields에 매핑했습니다.
• SourceEndpointHostName를 principal.hostname에 매핑했습니다.
• SourceAccountObjectSid를 principal.user.windows_sid에 매핑했습니다.
• LocalAddressIP4 및 aip를 파싱하는 조건을 추가했습니다.
• ComputerName 및 LocalAddressIP4가 null이 아닌 경우 metadata.event_type를 STATUS_UPDATE에 매핑했습니다.
• SourceEndpointAccountObjectGuid를 metadata.product_log_id에 매핑했습니다.
• SourceEndpointAccountObjectSid를 target.user.windows_sid에 매핑했습니다.
• SourceEndpointHostName를 principal.hostname에 매핑했습니다.

2022-08-18

버그 수정:

• 다음 필드를 매핑했습니다.
• event.PatternDispositionValue은 security_result.about.labels에 매핑
• event.ProcessId은 principal.process.product_specific_process_id에 매핑
• event.ParentProcessId은 target.process.parent_process.pid에 매핑
• event.ProcessStartTime은 security_result.detection_fields에 매핑
• event.ProcessEndTime은 security_result.detection_fields에 매핑
• event.ComputerName은 principal.hostname에 매핑
• event.UserName은 principal.user.userid에 매핑
• event.DetectName은 security_result.threat_name에 매핑
• event.DetectDescription은 security_result.description에 매핑
• event.SeverityName은 security_result.severity에 매핑
• event.FileName은 target.file.full_path에 매핑
• event.FilePath은 target.file.full_path에 매핑
• event.CommandLine은 principal.process.command_line에 매핑
• event.SHA256String은 target.file.sha256에 매핑
• event.MD5String은 security_result.about.file.md5에 매핑
• event.MachineDomain은 principal.administrative_domain에 매핑
• event.FalconHostLink은 intermediary.url에 매핑
• event.LocalIP은 principal.ip에 매핑
• event.MACAddress은 principal.mac에 매핑
• event.Tactic은 security_result.detection_fields에 매핑
• event.Technique은 security_result.detection_fields에 매핑
• event.Objective은 security_result.rule_name에 매핑
• event.PatternDispositionDescription은 security_result.summary에 매핑
• event.ParentImageFileName은 principal.process.parent_process.file.full_path에 매핑
• event.ParentCommandLine은 principal.process.parent_process.command_line에 매핑

2022-07-29

개선사항:

• event_category,event_module,Hmac를 additional.fields에 매핑했습니다.
• user_name를 principal.user.userid에 매핑했습니다.
• event_source를 target.application에 매핑했습니다.
• auth_group and new logs용 grok을 추가했습니다.
• principal_ip,target_ip and event_type 검사를 추가했습니다.

2022-07-25

버그 수정:

• eventType가 K8SDetectionEvent인 경우 metadata.event_type를 USER_RESOURCE_ACCESS에 매핑했습니다.
• metadata.event_type이 null이고 principal.asset_id이 null이 아닌 경우 metadata.event_type를 STATUS_UPDATE에 매핑했습니다.
• SourceAccountDomain를 principal.administrative_domain에 매핑함
• SourceAccountName를 principal.user.userid에 매핑함
• EventType가 Event_ExternalApiEvent이고 OperationName가 [quarantined_file_update, detection_update, update_rule]인 경우 metadata.event_type를 STATUS_UPDATE에 매핑함
• FilePath가 null이고 FileName이 null이거나 AgentIdString이 null인 경우 metadata.event_type를 USER_RESOURCE_ACCESS에 매핑했습니다.
• 프로토콜이 null인 경우 metadata.event_type를 STATUS_UPDATE에 매핑했습니다.
• MD5String,SHA256String,CommandLine,AgentIdString,ProcessId,ParentProcessId,FilePath,FileName에 대한 조건부 검사를 추가했습니다.

2022-07-12

개선사항:

• event_simpleName - DriverLoad,ProcessRollup,PeVersionInfo,PeFileWritten,TemplateDetectAnalysis,ScriptControlDetectInfo
• OriginalFilename을 principal.process.file.full_path에 매핑했습니다.

2022-06-20

개선사항:

• ConfigBuild를 security_result.detection_fields에 매핑했습니다.
• EffectiveTransmissionClass를 security_result.detection_fields에 매핑했습니다.
• Entitlements를 security_result.detection_fields에 매핑했습니다.

2022-06-14

개선사항:

• CompanyName를 target.user.company_name에 매핑함
• AccountType를 target.user.role_description에 매핑함
• ProductVersion를 metadata.product_version에 매핑함
• LogonInfo를 principal.ip에 매핑함
• MAC를 principal.mac에 매핑함
• UserSid_readable를 target.user.windows_sid에 매핑함
• FileName를 target.file.full_path에 매핑함
• _time를 metadata.event_timestamp에 매핑함
• MD5HashData, SHA256HashData, UserName, id, RegObjectName, RegStringValue, RegValueName, UserSid, TargetFileName, aid에 대한 조건부 검사를 추가했습니다.

2022-06-02

버그 수정:

• security_result.detection_fields.value에서 키 이름과 콜론 문자를 삭제했습니다.

2022-05-27

개선사항:

• 추가 매핑: SHA256String 및 MD5String을 security_result.about.file에 매핑하여 알림 이벤트로 표시합니다.

2022-05-20

개선사항:

• LinkName를 target.resource.attribute.labels에 매핑했습니다.
• 가능한 GENERIC_EVENTS 항목을 STATUS_UPDATE로 전환했습니다.
• 프로세스와 상위 루트 디렉터리 사이에 백슬래시를 추가했습니다.
• event_platform가 iOS인 경우 파싱된 플랫폼입니다.
• resource.type을 resource_type으로 변경했습니다.

2022-05-12

개선사항:

• resourceName이 target.resource.name에 매핑됨
• resourceId가 target.resource.product_object_id에 매핑됨
• target.namespace에 매핑된 네임스페이스
• 카테고리가 security_result.category_details에 매핑됨
• description이 security_result.description에 매핑됨
• sourceAgent가 network.http.user_agent에 매핑됨
• 심각도가 security_result.severity에 매핑됨
• resourceKind가 target.resource.type에 매핑됨
• detectionName이 target.resource.name에 매핑됨
• clusterName이 target.resource.attribute.labels에 매핑됨
• clusterId가 target.resource.attribute.labels에 매핑됨
• detectionId가 target.resource.attribute.labels에 매핑됨
• additional.fields에 매핑된 유형
• additional.fields 문제 해결
• additional.fields에 대한 벤치마크
• badResources를 additional.fields로

2022-04-27

버그 수정:

• ExternalApiType = Event_AuthActivityAuditEvent인 로그의 udm event_type을 GENERIC_EVENT에서 USER_LOGIN으로 변경했습니다.
• target_user,actor_user, actor_user_uuid의 매핑을 additional.fields에서 각각 target.user.email_addresses, target.user.user_display_name, target.user.userid로 변경했습니다.

2022-04-25

개선사항:

• RemoteAddressIP4가 principal.ip에 매핑되었습니다.

2022-04-14

버그 수정:

• 모든 유형의 로그에 ScriptContent 필드 지원 추가

2022-04-13

개선사항:

• 새 필드의 매핑을 추가했습니다.
• 새 이벤트 매핑 추가 - AuthenticationPackage가 target.resource.name에 매핑됨

2022-04-04

버그 수정:

• NetworkConnect 이벤트의 OriginatingURL를 principal.url에 매핑했습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받으세요.