Fortinet 방화벽 로그 수집

다음에서 지원:

이 문서에서는 Bindplane을 사용하여 Fortinet 로그를 수집하고 Google Security Operations로 처리하는 방법을 설명합니다. 파서는 로그에서 필드를 추출하여 JSON 및 SYSLOG (키-값 쌍 포함) 형식을 모두 처리합니다. 이 도구는 네트워크 연결, 사용자 활동, DNS 이벤트, 보안 관련 발견사항을 비롯하여 추출된 필드를 통합 데이터 모델 (UDM)로 표준화하는 동시에 다양한 로그 형식과 특이 사례를 처리합니다.

시작하기 전에

  • Google Security Operations 인스턴스가 있는지 확인합니다.
  • Windows 2016 이상을 사용 중이거나 systemd와 함께 Linux 호스트를 사용하고 있는지 확인합니다.
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
  • Fortinet 방화벽 어플라이언스에 대한 권한이 있는지 확인합니다.

Google SecOps 처리 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 처리 인증 파일을 다운로드합니다. Bindplane가 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

Windows 설치

  1. 관리자 권한으로 명령 프롬프트 또는 PowerShell을 엽니다.

  2. 다음 명령어를 실행합니다.

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 설치

  1. 루트 또는 sudo 권한으로 터미널을 엽니다.

  2. 다음 명령어를 실행합니다.

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

추가 설치 리소스

Syslog를 수집하고 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. 구성 파일에 액세스합니다.

    1. config.yaml 파일을 찾습니다. 일반적으로 Linux의 /etc/bindplane-agent/ 디렉터리 또는 Windows의 설치 디렉터리에 있습니다.
    2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

  2. 다음과 같이 config.yaml 파일을 수정합니다.

    ```yaml
receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: FORTINET_FIREWALL
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
```

  3. 인프라에서 필요에 따라 포트와 IP 주소를 바꿉니다.

  4. <customer_id>를 실제 고객 ID로 바꿉니다.

  5. Google SecOps 처리 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

    sudo systemctl restart bindplane-agent

  • Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

    net stop BindPlaneAgent && net start BindPlaneAgent

CLI를 사용하여 FortiGate에서 Syslog 구성

  1. Fortinet FortiGate 어플라이언스의 명령줄 인터페이스에 로그인합니다.

  2. 다음 명령어를 동일한 순서로 입력합니다. 변수는 환경에 맞는 값으로 바꿉니다.

    sh full-configuration | grep -f syslogd
config log syslogd setting
    set status enable
    set server IP_ADDRESS
    set mode udp
    set port PORT
    set facility LOCAL
    set reliable enable or disable
    set source-ip FIEWALL_IP
end

  3. 다음 값을 업데이트합니다.

    • IP_ADDRESS: Bindplane 에이전트의 IPv4 주소를 입력합니다.
    • PORT: Bindplane 에이전트의 포트 번호를 입력합니다(예: 514).
    • LOCAL: 설비 수준을 local6으로 설정합니다 (정보 로그의 경우 local0, local1, local2, local3, local4, local5 또는 local7으로 다른 값을 선택할 수도 있음).
    • enable or disable: disable을 입력하여 데이터를 UDP로 전송합니다. reliable 값을 enable로 설정하면 데이터가 TCP로 전송됩니다.
    • FIEWALL_IP: 방화벽의 IPv4 주소를 입력합니다.

GUI를 사용하여 FortiGate에서 Syslog 구성

  1. Fortinet Fortigate 웹 UI에 로그인합니다.
  2. 로그 및 보고서 > 로그 설정으로 이동합니다.
  3. 다음 구성을 수정합니다.
    • Syslog에 로그 전송: 사용 설정을 선택합니다.
    • IP 주소 / FQDN: Bindplane 에이전트의 IPv4 주소를 입력합니다.
    • 이벤트 로깅: 모두를 선택합니다.
    • 로컬 트래픽 로그: 전체를 선택합니다.

  4. 정책 및 객체 > 방화벽 정책으로 이동합니다.

    • 모든 방화벽 정책에 로그 수준을 모두로 사용 설정합니다 (사용 중지 및 UTM으로 설정하지 않음).
    • 암시적 거부 정책도 로그 수준 전체여야 합니다.

  5. CLI를 열고 다음 명령어를 입력합니다.

    1. 방화벽 애플리케이션 IP를 가져옵니다.

      Show full-configuration | grep -f syslogd

    2. 소스 IP 및 시설을 설정합니다.

      • LOCAL: 시설 수준을 local6로 설정합니다 (정보 로그의 경우 local0, local1, local2, local3, local4, local5 또는 local7로 다른 값을 선택할 수도 있음).

      • FIEWALL_IP: 방화벽의 IPv4 주소를 입력합니다.

        config log syslogd setting
set source-ip FIEWALL_IP
set facility LOCAL
end

    3. 각 fortigate 기기에서 resolve-ip를 사용 설정합니다.

      config log setting
set resolve-ip enable

  6. Google SecOps에 온보딩해야 하는 기기마다 이 절차를 반복합니다.

선택사항: 추가 Fortigate Syslog 구성 옵션

  1. FortiGate v5.X의 경우 확장 로그를 사용 설정하려면 다음 명령어를 실행합니다.

    config antivirus profile
    edit default
        set extended-utm-log enable
    end
config application
    edit default
        set extended-utm-log enable
    end
config webfilter
    edit default
        set extended-utm-log enable
    end
config spamfilter
    edit default
        set extended-utm-log enable
    end
config dlp
    edit default
        set extended-utm-log enable
    end
config ips
    edit default
        set extended-utm-log enable
    end

UDM 매핑 표

로그 필드 UDM 매핑 논리
action security_result.action_details 이 값은 원시 로그의 action 필드에서 직접 가져옵니다.
act security_result.action_details action 필드가 비어 있으면 원시 로그의 act 필드에서 값을 가져옵니다.
agent network.http.user_agent, network.http.parsed_user_agent 값은 agent 필드에서 가져옵니다. parsed_user_agent 필드는 user_agent 필드의 파싱된 버전입니다.
appid security_result1.rule_id 값은 appid 필드에서 가져옵니다.
app target.application, network.application_protocol, additional.fields service 필드가 비어 있으면 값은 app 필드에서 가져옵니다. service가 HTTPS, HTTP, DNS, DHCP, SMB 중 하나인 경우 이 값은 network.application_protocol를 채우는 데 사용됩니다. 그렇지 않으면 target.application에 사용됩니다. 키가 app이고 app 필드의 문자열 값인 추가 필드가 additional.fields에 추가됩니다.
appact additional.fields 키가 appact이고 appact 필드의 문자열 값인 추가 필드가 additional.fields에 추가됩니다.
appcat additional.fields 키가 appcat이고 appcat 필드의 문자열 값인 추가 필드가 additional.fields에 추가됩니다.
applist additional.fields 키가 applist이고 applist 필드의 문자열 값인 추가 필드가 additional.fields에 추가됩니다.
apprisk additional.fields 키가 apprisk이고 apprisk 필드의 문자열 값인 추가 필드가 additional.fields에 추가됩니다.
attack security_result.category_details, security_result.threat_name, security_result.summary, security_result.detection_fields 값이 security_result.category_details에 추가됩니다. IPS/이상치 이벤트의 경우 security_result.summarysecurity_result.threat_name에도 사용됩니다. 키가 attack이고 값이 attack 필드인 감지 필드가 security_result.detection_fields에 추가됩니다.
attackid security_result.threat_id, security_result1.rule_id, security_result.detection_fields IPS 이벤트의 경우 이 값이 security_result.threat_id에 사용됩니다. 다른 이벤트의 경우 security_result1.rule_id에 사용됩니다. 키가 attackId이고 값이 attackid 필드인 감지 필드가 security_result.detection_fields에 추가됩니다.
cat security_result1.rule_id 웹필터 이벤트의 경우 이 값이 security_result1.rule_id에 사용됩니다.
catdesc security_result.description, security_result1.rule_name, security_result.category_details 있는 경우 msg 필드에 추가되어 security_result.description를 만듭니다. security_result1.rule_name에도 사용됩니다. 값이 security_result.category_details에 추가됩니다.
changes security_result.summary changes 필드는 키-값 쌍으로 파싱됩니다. 파싱된 changesmode 값이 security_result.summary에 사용됩니다.
connection_type metadata.product_event_type 값이 있는 경우 metadata.product_event_type에 추가됩니다.
craction security_result.about.labels craction 키와 craction 필드 값이 있는 라벨이 security_result.about.labels에 추가됩니다.
crlevel security_result.severity, event.idm.is_alert, event.idm.is_significant crlevel이 CRITICAL이거나 level이 알림이면 is_alertis_significant가 TRUE로 설정됩니다. 값은 HIGH의 경우 HIGH, MEDIUM의 경우 MEDIUM, LOW의 경우 LOW, CRITICAL의 경우 CRITICAL의 매핑에 따라 security_result.severity에 매핑됩니다.
crscore security_result.severity_details IPS 이벤트의 경우 값이 security_result.severity_details에 사용됩니다.
cs6 principal.user.group_identifiers 값이 principal.user.group_identifiers에 추가됩니다.
date, time timestamp datetime 필드가 결합되고 파싱되어 timestamp이 생성됩니다.
devid security_result.detection_fields 키가 devid이고 값이 devid 필드인 감지 필드가 security_result.detection_fields에 추가됩니다.
devname intermediary.hostname, target.hostname, target.asset.hostname, principal.hostname, principal.asset.hostname dvchost가 있는 경우 dvchostintermediary.hostname에 사용됩니다. 그렇지 않으면 devname이 사용됩니다. typeevent인 VPN 이벤트의 경우 target.hostname에 사용됩니다. 사용자 생성 이벤트의 경우 principal.hostname에 사용됩니다.
deviceSeverity level 이 값은 level 필드를 채우는 데 사용됩니다.
device_product metadata.product_name 이 값은 metadata.product_name에 사용됩니다. 없으면 Fortigate이 기본값으로 사용됩니다.
device_vendor metadata.vendor_name 이 값은 metadata.vendor_name에 사용됩니다. 없으면 Fortinet이 기본값으로 사용됩니다.
device_version metadata.product_version 이 값은 metadata.product_version에 사용됩니다.
dhcp_msg network.dhcp.type, metadata.event_type, network.application_protocol 값이 Ack이면 network.dhcp.typeACK로, metadata.event_typeNETWORK_DHCP로, network.application_protocolDHCP로 설정됩니다.
dir direction direction가 비어 있으면 값은 dir 필드에서 가져옵니다.
direction network.direction 값은 다음 매핑에 따라 network.direction에 매핑됩니다. incoming, inbound, response의 경우 INBOUND, outgoing, outbound, request의 경우 OUTBOUND입니다.
dst target.ip, target.asset.ip 이 값은 IP 주소로 파싱되어 target.ip에 사용됩니다.
dstauthserver target.hostname, target.asset.hostname 이 값은 target.hostname에 사용됩니다.
dstcountry target.location.country_or_region 값이 Reserved이 아니거나 비어 있지 않으면 target.location.country_or_region에 사용됩니다.
dstip target.ip, target.asset.ip 이 값은 IP 주소로 파싱되어 target.ip에 사용됩니다.
dstinetsvc security_result.detection_fields 키가 dstinetsvc이고 값이 dstinetsvc 필드인 감지 필드가 security_result.detection_fields에 추가됩니다.
dstintf security_result.detection_fields 키가 dstintf이고 값이 dstintf 필드인 감지 필드가 security_result.detection_fields에 추가됩니다.
dstintfrole security_result.detection_fields 키가 dstintfrole이고 값이 dstintfrole 필드인 감지 필드가 security_result.detection_fields에 추가됩니다.
dstmac target.mac 이 값은 MAC 주소로 파싱되어 target.mac에 사용됩니다.
dstosname target.platform 값이 WINDOWS인 경우 target.platformWINDOWS로 설정됩니다.
dstport target.port 값은 정수로 변환되어 target.port에 사용됩니다.
dstswversion target.platform_version 이 값은 target.platform_version에 사용됩니다.
dstuuid target.resource.product_object_id 이 값은 target.resource.product_object_id에 사용됩니다.
dstuser target.user.userid 이 값은 target.user.userid에 사용됩니다.
dtype security_result.category_details 값이 security_result.category_details에 추가됩니다.
duration network.session_duration.seconds 값이 비어 있지 않거나 0이 아닌 경우 정수로 변환되어 network.session_duration.seconds에 사용됩니다.
duser principal.user.userid, target.user.userid, target.user.user_display_name 엔드포인트/시스템 이벤트의 경우 principal.user.userid에 사용됩니다. 사용자 로그인 이벤트의 경우 target.user.userid에 사용됩니다. CEF 형식 로그의 경우 target.user.user_display_name에 사용됩니다.
dvchost devname 이 값은 devname 필드를 대체하는 데 사용됩니다.
d_uid target.user.userid request 필드에서 추출된 값이 target.user.userid에 사용됩니다.
error security_result.severity_details levelerror이고 error가 있는 경우 값이 security_result.severity_details에 사용됩니다.
eventtime timestamp, metadata.event_timestamp 값이 파싱되어 timestampmetadata.event_timestamp가 생성됩니다.
eventtype security_result1.rule_type, security_result.detection_fields 이 값은 security_result1.rule_type에 사용됩니다. IPS 이벤트의 경우 security_result.detection_fields에도 사용됩니다.
filename target.file.full_path 이 값은 target.file.full_path에 사용됩니다.
group principal.user.group_identifiers 값이 N/A이거나 비어 있지 않으면 principal.user.group_identifiers에 추가됩니다.
hostname target.hostname, target.asset.hostname, principal.hostname, principal.asset.hostname 이 값은 target.hostname에 사용됩니다. DHCP Ack 이벤트의 경우 principal.hostname에 사용됩니다.
httpmethod network.http.method 이 값은 network.http.method에 사용됩니다.
in network.received_bytes 값은 부호 없는 정수로 변환되어 network.received_bytes에 사용됩니다.
incidentserialno security_result.about.labels incidentserialno 키와 incidentserialno 필드 값이 있는 라벨이 security_result.about.labels에 추가됩니다.
ip principal.ip, principal.asset.ip, network.dhcp.yiaddr 엔드포인트/시스템 이벤트의 경우 값이 principal.ip에 추가됩니다. DHCP Ack 이벤트의 경우 network.dhcp.yiaddr에 사용됩니다.
ipaddr intermediary.ip 값은 쉼표로 구분된 IP 주소 목록으로 파싱되어 intermediary.ip에 추가됩니다.
level security_result.severity, security_result.severity_details, event.idm.is_alert, event.idm.is_significant crlevel이 CRITICAL이거나 level이 알림이면 is_alertis_significant가 TRUE로 설정됩니다. 값은 다음 매핑에 따라 security_result.severity에 매핑됩니다. warning의 경우 HIGH, notice의 경우 MEDIUM, informationinfo의 경우 LOW, error의 경우 ERROR입니다. security_result.severity_detailslevel: <value>로 설정되어 있습니다.
locip principal.ip, principal.asset.ip VPN 이벤트의 경우 값이 principal.ip에 추가됩니다.
locport dstport 이 값은 dstport 필드를 대체하는 데 사용됩니다.
logdesc metadata.description 이 값은 metadata.description에 사용됩니다.
logid metadata.product_log_id, additional.fields 이 값은 metadata.product_log_id에 사용됩니다. 키가 logid이고 logid 필드의 문자열 값인 추가 필드가 additional.fields에 추가됩니다.
log_id metadata.product_log_id 이 값은 metadata.product_log_id에 사용됩니다.
metadata.event_type metadata.event_type 값은 이벤트 유형 및 기타 필드를 기반으로 설정됩니다. 기본값은 GENERIC_EVENT입니다. NETWORK_CONNECTION, USER_UNCATEGORIZED, NETWORK_HTTP, USER_LOGIN, USER_LOGOUT, NETWORK_DNS, NETWORK_DHCP, STATUS_UNCATEGORIZED, NETWORK_UNCATEGORIZED, USER_CREATION, USER_DELETION으로 설정할 수 있습니다.
metadata.log_type metadata.log_type 값은 FORTINET_FIREWALL로 설정됩니다.
metadata.product_event_type metadata.product_event_type 값은 <type> - <subtype>로 설정됩니다. connection_type가 있으면 값에 추가됩니다. CEF 형식 로그의 경우 [<device_event_class_id>] - <event_name> <severity>로 설정됩니다.
metadata.product_name metadata.product_name 이 값은 기본적으로 Fortigate로 설정됩니다. device_product가 있으면 대신 해당 값이 사용됩니다.
metadata.product_version metadata.product_version 값은 device_version 필드에서 가져옵니다(있는 경우).
metadata.vendor_name metadata.vendor_name 이 값은 기본적으로 Fortinet로 설정됩니다. device_vendor가 있으면 대신 해당 값이 사용됩니다.
mode security_result.summary changes 필드에서 추출된 값이 security_result.summary에 사용됩니다.
msg metadata.description, security_result.summary, security_result.description, security_result1.rule_name logdesc이 없으면 값이 metadata.description에 사용됩니다. 시스템 이벤트의 경우 security_result.summary에 사용됩니다. 웹 필터 이벤트의 경우 security_result.description 앞에 추가됩니다. msgFile is infected.인 바이러스 이벤트의 경우 virus와 함께 사용하여 security_result.summary를 채웁니다. 앱-ctrl 이벤트의 경우 security_result1.rule_name에 사용됩니다.
name principal.hostname, principal.asset.hostname 이 값은 principal.hostname에 사용됩니다.
nas principal.nat_ip 이 값은 IP 주소로 파싱되어 principal.nat_ip에 사용됩니다.
operation security_result.action_details, security_result.action 이 값은 security_result.action_details에 사용됩니다. 또한 다음 매핑에 따라 security_result.action에 매핑됩니다. accept, passthrough, pass, permit, detected, close, edit의 경우 ALLOW, deny, dropped, blocked의 경우 BLOCK, timeout의 경우 FAIL, 기타 값의 경우 UNKNOWN_ACTION입니다.
os principal.platform, principal.platform_version 값에 Windows가 포함된 경우 principal.platformWINDOWS로 설정되고 버전이 추출되어 principal.platform_version에 사용됩니다.
osname principal.platform 값이 WINDOWS인 경우 principal.platformWINDOWS로 설정됩니다.
osversion principal.platform_version 이 값은 principal.platform_version에 사용됩니다.
out network.sent_bytes 값은 부호 없는 정수로 변환되어 network.sent_bytes에 사용됩니다.
path security_result.description 이 값은 security_result.description에 사용됩니다.
performed_on security_result.about.application 이 값은 security_result.about.application에 사용됩니다.
policyid security_result.rule_id 이 값은 security_result.rule_id에 사용됩니다.
policyname security_result.rule_name 이 값은 security_result.rule_name에 사용됩니다.
policytype security_result.rule_type 이 값은 security_result.rule_type에 사용됩니다.
poluuid additional.fields 키가 poluuid이고 poluuid 필드의 문자열 값인 추가 필드가 additional.fields에 추가됩니다.
pri security_result.severity_details 이 값은 security_result.severity_details에 사용됩니다.
profile target.resource.name, target.resource.resource_type 이 값은 target.resource.name에 사용되며 target.resource.resource_typeACCESS_POLICY로 설정됩니다.
proto network.ip_protocol 값은 다음 매핑에 따라 network.ip_protocol에 매핑됩니다. 17의 경우 UDP, 6의 경우 TCP, 41의 경우 IP6IN4, 1의 경우 ICMP, servicePING이거나 ICMP를 포함하는 경우.
protocol network.application_protocol 값이 udp인 경우 network.ip_protocolUDP로 설정됩니다. 값이 tcp인 경우 network.ip_protocolTCP로 설정됩니다. 그렇지 않고 비어 있지 않은 경우 파싱되어 network.application_protocol에 사용됩니다.
qclass network.dns.questions.class 값이 IN인 경우 network.dns.questions.class1로 설정됩니다.
qname network.dns.questions.name 이 값은 network.dns.questions.name에 사용됩니다.
qtypeval network.dns.questions.type 값이 부호 없는 정수로 변환되고 이름이 network.dns.questions.type로 변경됩니다.
rcvdbyte network.received_bytes 값은 부호 없는 정수로 변환되어 network.received_bytes에 사용됩니다.
rcvdpkt additional.fields 키가 receivedPackets이고 rcvdpkt 필드의 문자열 값인 추가 필드가 additional.fields에 추가됩니다.
reason security_result.description 값이 N/A이 아니거나 비어 있지 않으면 security_result.description에 사용됩니다.
referralurl network.http.referral_url 이 값은 network.http.referral_url에 사용됩니다.
ref metadata.url_back_to_product 이 값은 metadata.url_back_to_product에 사용됩니다.
remip principal.ip, principal.asset.ip VPN 이벤트의 경우 값이 principal.ip에 추가됩니다.
remport srcport 이 값은 srcport 필드를 대체하는 데 사용됩니다.
request target.user.userid 값에 duid가 포함된 경우 duid가 추출되어 target.user.userid에 사용됩니다.
sentbyte network.sent_bytes 값은 부호 없는 정수로 변환되어 network.sent_bytes에 사용됩니다.
sentpkt additional.fields 키가 sentPackets이고 sentpkt 필드의 문자열 값인 추가 필드가 additional.fields에 추가됩니다.
server target.hostname, target.asset.hostname 사용자 이벤트의 경우 이 값은 target.hostname에 사용됩니다.
service network.application_protocol, target.application 값이 HTTPS, HTTP, DNS, DHCP, SMB 중 하나인 경우 network.application_protocol에 사용됩니다. 그렇지 않으면 target.application에 사용됩니다.
sessionid network.session_id 이 값은 network.session_id에 사용됩니다.
session_id network.session_id 이 값은 network.session_id에 사용됩니다.
severity security_result.severity, security_result.detection_fields CEF 형식 로그의 경우 이 값은 security_result.severity에 사용됩니다. 키가 severity이고 값이 severity 필드인 감지 필드가 security_result.detection_fields에 추가됩니다.

변경사항

2025-02-24

개선사항:

  • dstnametarget.hostname에 매핑했습니다.
  • saddrprincipal.ip에 매핑했습니다.

2025-02-18

개선사항:

  • actionclear_session인 경우 security_result.actionBLOCK에 매핑했습니다.

2025-01-31

개선사항:

  • remip의 매핑을 principal.ip에서 target.ip로 변경했습니다.

2025-01-24

개선사항:

  • srcip가 사용자 인터페이스 (UI) 또는 SSH 트래픽과 연결된 경우 srcip를 principal.ip에 매핑했습니다.

2025-01-20

개선사항:

  • ui, cfgpath, cfgobj, cfgattr, msgadditional.fields에 매핑했습니다.

2025-01-08

개선사항:

  • type=event이고 subtype=vpn인 경우 metadata.event_typeSTATUS_UPDATE에 매핑했습니다.
  • type=event subtype=vpn, action= tunnel-stats인 경우 metadata.event_typeNETWORK_UNCATEGORIZED에 매핑했습니다.

2025-01-01

개선사항:

  • target.user.useriddevidprincipal.asset.hardware.serial_number로 바꿉니다.

2024-12-20

개선사항:

  • GROK 패턴을 재정렬했습니다.
  • 새 유형의 로그를 파싱하는 GROK 패턴을 추가했습니다.

2024-12-04

개선사항:

  • ipaddrnetwork.dns.answers에 매핑했습니다.
  • fortihostintermidiary.ip에 매핑했습니다.

2024-11-28

개선사항:

  • actionAdd인 경우 metadata.event_typeUSER_CREATION에 매핑했습니다.
  • actionDelete인 경우 metadata.event_typeUSER_DELETION에 매핑했습니다.
  • actionEdit인 경우 metadata.event_typeDEVICE_CONFIG_UPDATE에 매핑했습니다.
  • devid의 매핑을 security_result.detection_fields에서 target.user.userid로 변경했습니다.

2024-11-28

개선사항:

  • actionAdd인 경우 metadata.event_typeUSER_CREATION에 매핑했습니다.
  • actionDelete인 경우 metadata.event_typeUSER_DELETION에 매핑했습니다.
  • actionEdit인 경우 metadata.event_typeDEVICE_CONFIG_UPDATE에 매핑했습니다.
  • devid의 매핑을 security_result.detection_fields에서 target.user.userid로 변경했습니다.

2024-11-27

개선사항:

  • utmaction가 있는 경우 actionsecurity_result_1.action_details에 매핑했습니다.

2024-11-21

개선사항:

  • msg의 매핑을 metadata.description에서 security_result.summary로 변경했습니다.
  • logdescmetadata.description에 매핑했습니다.

2024-11-08

개선사항:

  • uiprincipal.ipprincipal.asset.ip에 매핑했습니다.

2024-11-08

개선사항:

  • uiprincipal.ipprincipal.asset.ip에 매핑했습니다.

2024-10-15

개선사항:

  • type, subtype, leveladditional.fields에 매핑했습니다.

2024-09-20

개선사항:

  • dstosnameDEBIAN과 같으면 target.platformLINUX로 설정합니다.

2024-09-19

개선사항:

  • servicekernel인 경우 드롭 태그를 삭제했습니다.
  • macprincipal.mac에 매핑했습니다.

2024-09-13

개선사항:

  • security_result.action UDM 필드 값을 매핑하기 전에 ssl-login-failauth-logon에 대한 조건부 검사를 추가했습니다.

2024-08-29

개선사항:

  • actionnegotiate이면 security_result.actionBLOCK로 설정합니다.
  • actiontunnel-down, tunnel-stats, tunnel-up, ssl-new-con이면 security_result.actionALLOW로 설정합니다.
  • actiontunnel와 거의 같거나 actionnegotiate인 경우 metadata.event_typeNETWORK_CONNECTION로 설정합니다.

2024-08-16

개선사항:

  • actiontimeout인 경우 security_result.action 매핑을 FAIL에서 BLOCK로 변경했습니다.

2024-08-13

개선사항:

  • logidmetadata.product_log_id에 매핑했습니다.
  • vdprincipal.administrative_domain에 매핑했습니다.
  • srcintfrolesecurity_result.detection_fields에 매핑했습니다.
  • dstintfrolesecurity_result.detection_fields에 매핑했습니다.
  • sentpkt, rcvdpkt, vpntype, authserver, crlevel, trandisp, policyid, appcatadditional.fields에 매핑했습니다.
  • policytypesecurity_result.rule_type에 매핑했습니다.
  • cractionsecurity_result.about.labels에 매핑했습니다.
  • crscoresecurity_result.severity_details에 매핑했습니다.
  • groupprincipal.user.group_identifiers에 매핑했습니다.

2024-08-06

개선사항:

  • auditid, auditscore, auditid, criticalcount, highcount , mediumcount, lowcount, passedcount, criticalcount, srccountry, direction, dstcountry, dstintf, dstintfrole, xid, qtype, qtypeval, qclass, cat, rcode, license_limitsecurity_result.detection_fields에 매핑했습니다.
  • cpu, mem, disk, bandwidth, disklograte, fazlograte, freediskstorage, sysuptime, waninfo, trandisp, used_for_type, connection_type, count, fctuidadditional.fields에 매핑했습니다.
  • totalsessionnetwork.session_duration.seconds에 매핑했습니다.
  • incidentserialnonetwork.tls.client.certificate.serial에 매핑했습니다.
  • scertcnamenetwork.tls.client.certificate.subject에 매핑했습니다.
  • scertissuernetwork.tls.client.certificate.issuer에 매핑했습니다.
  • authserverprincipal.hostnameprincipal.asset.hostname에 매핑했습니다.
  • dstserverdst_hosttarget.hostnametarget.asset.hostname에 매핑했습니다.
  • dsthwvendortarget.resource.attribute.labels에 매핑했습니다.
  • eventtimemetadata.event_timestamp에 매핑했습니다.
  • reqtype, rcvdbyte, ratemethod, outintf, cookies, useralt, xauthuser, xauthgroup, assignip, vpntunnel, init, stage, role, advpnsc, tunneltype, tunnelid, nextstatprincipal.resource.attribute.labels에 매핑했습니다.
  • policyidsecurity_result.rule_id에 매핑했습니다.
  • policytypesecurity_result.rule_type에 매핑했습니다.
  • date, time, tzmetadata.ingested_timestamp에 매핑했습니다.
  • profiletarget.resource.nametarget.resource.resource_type에 매핑했습니다.
  • user가 유효한 IP인 경우 userprincipal.ipprincipal.asset.ip에 매핑했습니다.
  • groupprincipal.user.group_identifiers에 매핑했습니다.
  • modesecurity_result.summary에 매핑했습니다.
  • resultsecurity_result.description에 매핑했습니다.

2024-07-29

개선사항:

  • security_result.action UDM 필드를 매핑하기 전에 success 필드에 대한 조건부 검사를 추가했습니다.

2024-07-17

개선사항:

  • 파싱되지 않은 syslog 로그를 파싱하는 gsub를 추가했습니다.

2024-07-02

개선사항:

  • FTNTFGTappcatadditional.fields에 매핑했습니다.
  • FTNTFGTdurationnetwork.session_duration.seconds에 매핑했습니다.
  • FTNTFGTsentpktadditional.fieldsnetwork.sent_packets에 매핑했습니다.
  • FTNTFGTrcvdpktadditional.fieldsnetwork.received_packets에 매핑했습니다.
  • FTNTFGTdstintfrolesecurity_result.detection_fields에 매핑했습니다.
  • FTNTFGTsrcintfrolesecurity_result.detection_fields에 매핑했습니다.
  • FTNTFGTpoluuidsecurity_result.rule_id에 매핑했습니다.
  • FTNTFGTvdprincipal.administrative_domain에 매핑했습니다.

2024-05-21

개선사항:

  • JSON 로그를 파싱하도록 gsub를 추가했습니다.

2024-04-19

개선사항:

  • Mapped correctshostvalue toprincipal.hostnameby adding gsub function forfw_versionfield. 버그 수정:
  • jsonPayload.message 필드가 없는 로그에 대한 지원을 추가했습니다.

2024-03-07

개선사항:

  • httpmethodnetwork.http.method에 매핑했습니다.
  • agentnetwork.http.user_agentnetwork.http.parsed_user_agent에 매핑했습니다.
  • principal.ipprincipal.asset.ip의 매핑을 정렬했습니다.
  • principal.hostnameprincipal.asset.hostname의 매핑을 정렬했습니다.
  • target.iptarget.asset.ip의 매핑을 정렬했습니다.
  • target.hostnametarget.asset.hostname의 매핑을 정렬했습니다.

2023-11-21

버그 수정:

  • dstuserevent.idm.read_only_udm.target.user.userid에 매핑했습니다.
  • dstauthserverevent.idm.read_only_udm.target.hostname에 매핑했습니다.
  • poluuidevent.idm.read_only_udm.additional.fields에 매핑했습니다.
  • srcuuidevent.idm.read_only_udm.principal.resource.product_object_id에 매핑했습니다.
  • dstuuidevent.idm.read_only_udm.target.resource.product_object_id에 매핑했습니다.
  • attackevent.idm.read_only_udm.security_result.category_details에 매핑했습니다.
  • type 값이 utm이고 subtype 값이 waf인 경우 event.idm.read_only_udm.metadata.event_typeNETWORK_UNCATEGORIZED에서 NETWORK_CONNECTION로 변경했습니다.
  • direction 값이 request이면 event.idm.read_only_udm.network.directionOUTBOUND로 설정합니다.
  • direction 값이 response이면 event.idm.read_only_udm.network.directionINBOUND로 설정합니다.

2023-11-20

버그 수정:

  • transipprincipal.nat_ip에 매핑했습니다.
  • transportprincipal.nat_port에 매핑했습니다.
  • tranporttarget.nat_port에 매핑했습니다.

2023-07-10

개선사항:

  • Added FTP Server 유형의 파싱된 원시 로그입니다.

2023-06-01

개선사항:

  • log_idmetadata.product_log_id에 매핑했습니다.
  • operationsecurity_result.action_details에, security_result.actionALLOW에 매핑했습니다.
  • performed_onsecurity_result.about.application에 매핑했습니다.
  • pathsecurity_result.description에 매핑했습니다.
  • prisecurity_result.severity_details에 매핑했습니다.
  • modesecurity_result.summary에 매핑했습니다.
  • descmetadata.description에 매핑했습니다.
  • userfromprincipal.ip에 매핑했습니다.

2023-05-24

개선사항:

  • severitysecurity_result.detection_fields에 매핑했습니다.

2023-04-19

개선사항:

  • srcinetsvcdstinetsvcsecurity_result.detection_fields에 매핑했습니다.

2023-03-06

개선사항:

  • type = eventsubtype = vpn 매핑된 경우 -
  • event_typeUSER_LOGIN에 매핑
  • extensions.auth.typeVPN에 매핑
  • devnametarget.hostname에 매핑
  • action가 있는 경우 security_result.action에 매핑하고, 없는 경우 utmaction에 매핑했습니다. 처음에는 그 반대로 이루어졌습니다.

2023-02-22

  • user 필드가 있는 경우 metadata.event_typeGENERIC_EVENT 대신 USER_UNCATEGORIZED로 매핑했습니다.
  • msgsecurity_result.summary에 매핑했습니다.
  • nasprincipal.nat_ip에 매핑했습니다.
  • logdescGUI_ENTRY_DELETION가 포함된 경우 target.user.userid의 데이터를 파싱하도록 grok를 수정했습니다.

2023-01-13

  • shostprincipal.hostname에 매핑했습니다.

2022-11-24

개선사항:

  • traniptarget.nat_ip에 매핑했습니다.
  • msg의 매핑을 security_result.description에서 security_result.summary로 수정했습니다.

2022-10-21

개선사항:

  • suserprincipal.user.user_display_name에 매핑했습니다.
  • dusertarget.user.user_display_name에 매핑했습니다.
  • suidprincipal.user.userid에 매핑했습니다.
  • duidtarget.user.userid에 매핑했습니다.

2022-10-20

버그 수정:

  • action=closesecurity_result.action 매핑이 BLOCK에서 ALLOW로 변경되었습니다.

2022-10-13

개선사항:

  • logdescGUI_ENTRY_DELETION인 경우 metadata.event_type의 매핑을 GENERIC_EVENT에서 USER_DELETION로 변경했습니다.
  • msgsecurity_result.description에 매핑함
  • devnameprincipal.hostname에 매핑함
  • user_nametarget.user.userid에 매핑함
  • levelsecurity_result.severity_details에 매핑함

2022-10-13

개선사항:

  • logdescGUI_ENTRY_DELETION인 경우 metadata.event_type의 매핑을 GENERIC_EVENT에서 USER_DELETION로 변경했습니다.
  • msgsecurity_result.description에 매핑함
  • devnameprincipal.hostname에 매핑함
  • user_nametarget.user.userid에 매핑함
  • levelsecurity_result.severity_details에 매핑함

2022-10-06

버그 수정:

  • 'utmaction' 및 'action' 필드에 대한 조건부 검사가 추가되었습니다.
  • 'utmaction' 필드가 있는 경우 security_result.action에 매핑하고, 없는 경우 'action' 필드를 매핑했습니다.

2022-10-06

버그 수정:

  • 'utmaction' 및 'action' 필드에 대한 조건부 검사가 추가되었습니다.
  • 'utmaction' 필드가 있는 경우 security_result.action에 매핑하고, 없는 경우 'action' 필드를 매핑했습니다.

2022-09-21

개선사항:

  • 프로토콜에 tcp 및 udp가 포함된 경우 'protocol' 필드를 'network.ip_protocol'에 매핑하고, 그렇지 않은 경우에는 'network.application_protocol'에 매핑했습니다.
  • gsubs를 추가하고 필드 이름이 다른 CEF 형식의 로그를 파싱하도록 파서를 개선했습니다.

2022-09-09

개선사항:

  • 고객별 파서가 기본 파서로 마이그레이션되었습니다.
  • CEF 형식의 로그 지원이 추가되었습니다.
  • 'cs6' 필드가 'principal.user.group_identifiers'에 매핑되었습니다.
  • 'start' 필드가 'metadata.event_timestamp'에 매핑되었습니다.
  • 'dvchost' 필드가 'intermediary.hostname'에 매핑되었습니다.
  • 'dhost' 필드가 'target.hostname'에 매핑되었습니다.
  • 'src' 필드가 'principal.ip'에 매핑되었습니다.
  • 'spt' 필드가 'principal.port'에 매핑되었습니다.
  • 'sourceTranslatedAddress' 필드가 'principal.nat_ip'에 매핑되었습니다.
  • 'sourceTranslatedPort' 필드가 'principal.nat_port'에 매핑되었습니다.
  • 'dst' 필드가 'target.ip'에 매핑되었습니다.
  • 'dpt' 필드가 'target.port'에 매핑되었습니다.
  • 'out' 필드가 'network.sent_bytes'에 매핑되었습니다.
  • 'in' 필드가 'network.received_bytes'에 매핑되었습니다.
  • 'deviceSeverity' 필드가 'security_result.severity'에 매핑되었습니다.
  • 'act' 필드가 'security_result.action' 및 'security_result.action_details'에 매핑되었습니다.
  • 'sentpkt' 필드가 'additional.fields'에 매핑되었습니다.
  • 'rcvdpkt' 필드가 'additional.fields'에 매핑되었습니다.
  • 'metadata.product_name', 'metadata.vendor_name', 'sentbyte', 'rcvdbyte', 'intermediary' 필드에 대한 조건부 null 검사를 추가했습니다.
  • 다음 케이스의 'metadata.event_type' 필드를 수정했습니다.
  • 'GENERIC_EVENT'에서 'NETWORK_UNCATEGORIZED'로 변경되었습니다(principal.ip 및 target.ip가 null이 아닌 경우).
  • 'GENERIC_EVENT'에서 'STATUS_UNCATEGORIZED'로 변경되었습니다(principal.ip가 null이 아닌 경우).

2022-08-22

개선사항:

  • CEF 형식의 로그 지원이 추가되었습니다.
  • 'vd' 필드가 'principal.administrative_domain'에 매핑되었습니다.
  • 'status' 필드가 'security_result.summary'에 매핑되었습니다.
  • 'msg' 필드가 'security_result1.description'에 매핑되었습니다.
  • 'msg' 필드가 있는 위치에서 'ip_address' 필드가 'principal.ip'에 매핑되었습니다.
  • 'principal.hostname'에 매핑된 'devname' 필드의 매핑을 삭제했습니다.

2022-08-11

개선사항:

  • app 필드는 additional.fields[n]에 매핑됩니다.
  • remip 필드에 null 조건 검사를 추가했습니다.

2022-07-21

개선사항:

  • group의 매핑을 principal.user.groupid에서 principal.user.group_identifiers로 수정했습니다.

2022-07-13

개선사항:

  • 새 필드의 매핑이 추가되었습니다.
  • appcat를 event.idm.read_only_udm.additional.fields에 매핑했습니다.
  • apprisk를 event.idm.read_only_udm.additional.fields에 매핑했습니다.
  • applist를 event.idm.read_only_udm.additional.fields에 매핑했습니다.
  • appact를 event.idm.read_only_udm.additional.fields에 매핑했습니다.
  • devid를 event.idm.read_only_udm.additional.fields에 매핑했습니다.

2022-06-20

개선사항:

  • 필드 action 또는 utmaction의 값이 detected인 경우 security_result.actionALLOW로 매핑했습니다.

2022-05-20

개선사항:

  • 새 필드의 매핑이 추가되었습니다.
  • actionutmactionsecurity_result.action_details에 매핑했습니다.
  • principal.iptarget.ip에 대한 유효성 검사를 추가했습니다.

2022-04-29

개선사항:

  • UDM에 작업 = 시간 초과/닫기 지원을 추가했습니다.

  • principal 필드가 비어 있으면 devname을 principal.hostname에 매핑했습니다.

2022-04-12

개선사항:

  • 새 필드의 매핑이 추가되었습니다.
  • attackid가 security_result.rule_id에 매핑됨
  • crlevel이 security_result.severity에 매핑됨
  • incidentserialno가 metadata.product_log_id에 매핑됨
  • craction이 metadata.product_deployment_id에 매핑됨
  • dstintf가 additional.fields에 매핑됨
  • dstintfrole이 additional.fields에 매핑됨

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받아 보세요.