이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Microsoft Windows Defender ATP 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Azure 스토리지 계정을 사용하여 Microsoft Windows Defender ATP 로그를 Google Security Operations로 수집하는 방법을 설명합니다. 이 파서는 SYSLOG, XML, JSON 형식의 Windows Defender ATP 로그를 처리합니다. 이 도구는 이러한 형식의 다양한 필드를 통합 구조로 표준화하여 이벤트 세부정보, 사용자 데이터, 프로세스 정보, 네트워크 활동, 보안 결과와 같은 주요 정보를 추출하고 UDM에 매핑합니다. 또한 파서는 EventID 및 ActionType를 기반으로 조건부 로직을 실행하여 이벤트를 분류하고 각 이벤트 유형과 관련된 특정 세부정보로 UDM을 보강합니다.

시작하기 전에

Google SecOps 인스턴스가 있는지 확인합니다.
활성 Azure 구독이 있는지 확인합니다.
전역 관리자 또는 Microsoft Defender 고급 위협 사냥 역할이 있어야 합니다.
Azure 테넌트에 로그인하고 구독 > 구독 > 리소스 제공업체 > Microsoft.Insights에 등록으로 이동합니다.

Azure 스토리지 계정 구성

Azure Console에서 스토리지 계정을 검색합니다.
만들기를 클릭합니다.
다음 입력 매개변수의 값을 지정합니다.
- 구독: 구독을 선택합니다.
- 리소스 그룹: 리소스 그룹을 선택합니다.
- 리전: 리전을 선택합니다.
- 실적: 실적을 선택합니다 (표준 권장).
- 중복성: 중복성을 선택합니다 (GRS 또는 LRS 권장).
- 스토리지 계정 이름: 새 스토리지 계정의 이름을 입력합니다.
검토 + 만들기를 클릭합니다.
계정 개요를 검토하고 만들기를 클릭합니다.
스토리지 계정 개요 페이지의 보안 + 네트워킹에서 하위 메뉴 액세스 키를 선택합니다.
key1 또는 key2 옆에 있는 표시를 클릭합니다.
클립보드에 복사를 클릭하여 키를 복사합니다.
나중에 사용할 수 있도록 키를 안전한 위치에 저장합니다.
스토리지 계정 개요 페이지에서 설정의 하위 메뉴 엔드포인트를 선택합니다.
클립보드에 복사를 클릭하여 Blob 서비스 엔드포인트 URL(예: https://<storageaccountname>.blob.core.windows.net)을 복사합니다.
나중에 사용할 수 있도록 엔드포인트 URL을 안전한 위치에 저장합니다.

Windows Defender Advanced Threat Hunting 로그 내보내기 구성

전역 관리자 또는 보안 관리자로 security.microsoft.com에 로그인합니다.
설정 > Microsoft Defender XDR으로 이동합니다.
Streaming API를 선택합니다.
추가를 클릭합니다.
Azure Storage로 이벤트 전달을 선택합니다.
이전에 만든 스토리지 계정으로 이동합니다.
리소스 ID를 복사하여 스토리지 계정 리소스 ID에 입력합니다.
모든 이벤트 유형을 선택합니다.
저장을 클릭합니다.

Windows Defender Advanced Threat Hunting 로그를 수집하도록 Google SecOps에서 피드 구성

SIEM 설정 > 피드로 이동합니다.
새로 추가를 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다(예: Defender ATP Logs).
소스 유형으로 Microsoft Azure Blob Storage를 선택합니다.
로그 유형으로 Windows Defender ATP를 선택합니다.
다음을 클릭합니다.
다음 입력 매개변수의 값을 지정합니다.
- Azure URI: blob 엔드포인트 URL입니다.
  - ENDPOINT_URL/BLOB_NAME
    - 다음을 바꿉니다.
    - ENDPOINT_URL: blob 엔드포인트 URL (https://<storageaccountname>.blob.core.windows.net)입니다.
    - BLOB_NAME: Blob의 이름입니다(예: <logname>-logs).
- URI: 로그 스트림 구성 (단일 파일 | 디렉터리 | 하위 디렉터리가 포함된 디렉터리)에 따라 URI_TYPE을 선택합니다.
- 소스 삭제 옵션: 원하는 삭제 옵션을 선택합니다.
  
  참고: Delete transferred files 또는 Delete transferred files and empty directories 옵션을 선택하는 경우 서비스 계정에 적절한 권한을 부여했는지 확인하세요.
- 공유 키: Azure Blob Storage의 액세스 키입니다.
- 애셋 네임스페이스: 애셋 네임스페이스입니다.
- 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
다음을 클릭합니다.
확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

UDM 매핑 표

로그 필드	UDM 매핑	논리
`AccountName`	`target.user.userid`	`properties.AccountName`가 있고 `properties.InitiatingProcessAccountName`가 비어 있으면 채워집니다.
`AccountSid`	`target.user.windows_sid`	`properties.AccountSid`가 있는 경우 채워집니다.
`AccountType`	`principal.user.attribute.labels`	키: `AccountType`, 값: `properties.AccountType`
`Action`	`security_result.action_details`	`properties.Action`의 값입니다.
`Action`	`security_result.action`	`properties.Action`에 `quarantine`이 포함되면 값은 `QUARANTINE`입니다.
`Action Name`	`security_result.description`	`EventID`이 1117인 경우 `security_result.description`의 일부입니다.
`AdditionalFields`	`about.labels`, `principal.resource.attribute.labels`	키: `AdditionalFields`, 값: `properties.AdditionalFields` (또는 JSON으로 파싱된 경우 `AdditionalFields`) `properties.AdditionalFields`의 개별 키-값 쌍 (또는 JSON으로 파싱된 경우 `AdditionalFields2`)도 라벨로 추가됩니다.
`AdditionalFields.ClientMachine`	`principal.resource.attribute.labels`	키: `ClientMachine`, 값: `_AdditionalFields.ClientMachine`
`AdditionalFields.Command`	`target.process.command_line`	`ActionType`이 `PowerShellCommand`인 경우에 사용됩니다.
`AdditionalFields.Count`	`read_only_udm.additional.fields`	키: `Count`, 값: `properties.AdditionalFields.Count`
`AdditionalFields.DesiredAccess`	`principal.resource.attribute.labels`	키: `DesiredAccess`, 값: `_AdditionalFields.DesiredAccess`
`AdditionalFields.DnsQueryString`	`network.dns.questions.name`	`ActionType`이 `DnsQueryResponse`인 경우에 사용됩니다.
`AdditionalFields.DnsQueryResult`	`network.dns.answers`	루프 내에서 파싱되어 DNS 응답을 추출합니다. `Result`는 `name`가 되고 `DnsQueryType`는 숫자 `type`에 매핑됩니다.
`AdditionalFields.Experience`	`security_result.threat_name`	`properties.ActionType`에 `SmartScreen`가 포함된 경우에 사용됩니다.
`AdditionalFields.FileOperation`	`principal.resource.attribute.labels`	키: `FileOperation`, 값: `_AdditionalFields.FileOperation`
`AdditionalFields.InitiatingProcess`	`principal.resource.attribute.labels`	키: `InitiatingProcess`, 값: `_AdditionalFields.InitiatingProcess`
`AdditionalFields.IsAudit`	`principal.resource.attribute.labels`	키: `IsAudit`, 값: `_AdditionalFields.IsAudit`
`AdditionalFields.IsLocalLogon`	`extensions.auth.mechanism`	값이 `true`인 경우 `auth_mechanism`를 `LOCAL`로 설정합니다. `false`이면 `REMOTE`로 설정합니다.
`AdditionalFields.IsRemoteMachine`	`principal.resource.attribute.labels`	키: `IsRemoteMachine`, 값: `_AdditionalFields.IsRemoteMachine`
`AdditionalFields.NamedPipeEnd`	`principal.resource.attribute.labels`	키: `NamedPipeEnd`, 값: `_AdditionalFields.NamedPipeEnd`
`AdditionalFields.PipeName`	`principal.resource.attribute.labels`	키: `PipeName`, 값: `_AdditionalFields.PipeName`
`AdditionalFields.RemoteClientsAccess`	`principal.resource.attribute.labels`	키: `RemoteClientsAccess`, 값: `_AdditionalFields.RemoteClientsAccess`
`AdditionalFields.SessionId`	`principal.resource.attribute.labels`	키: `SessionId`, 값: `_AdditionalFields.SessionId`
`AdditionalFields.SignatureName`	`security_result.rule_id`	`properties.ActionType`이 `AntivirusDetection`인 경우에 사용됩니다.
`AdditionalFields.TaskName`	`target.resource.name`	`properties.ActionType`에 `Scheduled`가 포함된 경우에 사용됩니다.
`AdditionalFields.ThreatName`	`security_result.threat_name`	`properties.ActionType`이 `AntivirusDetection`인 경우에 사용됩니다.
`AdditionalFields.ThreadId`	`principal.resource.attribute.labels`	키: `ThreadId`, 값: `_AdditionalFields.ThreadId`
`AdditionalFields.TokenModificationProperties`	`principal.resource.attribute.labels`	키: `TokenModificationProperties`, 값: `_AdditionalFields.TokenModificationProperties`
`AdditionalFields.TotalBytesCopied`	`principal.resource.attribute.labels`	키: `TotalBytesCopied`, 값: `_AdditionalFields.TotalBytesCopied`
`AdditionalFields.WasExecutingWhileDetected`	`about.labels`, `principal.resource.attribute.labels`	키: `WasExecutingWhileDetected`, 값: `_AdditionalFields.WasExecutingWhileDetected`
`AdditionalFields.WasRemediated`	`security_result.action`	값이 `true`인 경우 `sr_action`를 `BLOCK`로 설정합니다. `false`이면 `ALLOW`로 설정합니다.
`AppGuardContainerId` `ApplicationId`	`read_only_udm.additional.fields`	키: `ApplicationId`, 값: `properties.ApplicationId`
`category`	`metadata.product_name`	`category`의 값입니다.
`category`	`metadata.product_event_type`	`AdvancedHunting-`가 삭제된 `category`의 값입니다.
`City`	`principal.location.city`	`properties.City`의 값입니다.
`ClientIP`	`principal.ip`, `principal.asset.ip`	유효한 IP 주소인 경우 `properties.RawEventData.ClientIP` 값입니다.
`ClientIPAddress`	`principal.ip`, `principal.asset.ip`	유효한 IP 주소인 경우 `properties.RawEventData.ClientIPAddress` 값입니다.
`ClientInfoString`	`read_only_udm.additional.fields`	키: `ClientInfoString`, 값: `properties.RawEventData.ClientInfoString`
`ClientProcessName`	`read_only_udm.additional.fields`	키: `ClientProcessName`, 값: `properties.RawEventData.ClientProcessName`
`ClientRequestId`	`read_only_udm.additional.fields`	키: `ClientRequestId`, 값: `properties.RawEventData.ClientRequestId`
`ClientVersion`	`read_only_udm.additional.fields`	키: `ClientVersion`, 값: `properties.RawEventData.ClientVersion`
`ConnectedNetworks`	`entity.asset.network_domain`	`ConnectedNetworks` 내의 `Name` 필드(있는 경우)
`CountryCode`	`principal.location.country_or_region`	`properties.CountryCode`의 값입니다.
`CreationTime`	`read_only_udm.additional.fields`	키: `CreationTime`, 값: `properties.RawEventData.CreationTime`
`Current Engine Version`	`security_result.description`	`EventID`이 2000일 때 `security_result.description`의 일부입니다.
`Current Signature Version`	`security_result.description`	`EventID`이 2000일 때 `security_result.description`의 일부입니다.
`DeliveryAction`	`read_only_udm.additional.fields`	키: `DeliveryAction`, 값: `properties.DeliveryAction`
`DeliveryAction`	`security_result.action`	`properties.DeliveryAction`에 `Blocked`이 포함되면 값은 `BLOCK`입니다.
`DeliveryLocation`	`read_only_udm.additional.fields`	키: `DeliveryLocation`, 값: `properties.DeliveryLocation`
`DestinationLocationType`	`read_only_udm.additional.fields`	키: `DestinationLocationType`, 값: `properties.RawEventData.DestinationLocationType`
`DetectionMethods`	`security_result.rule_name`, `security_result.detection_fields`	따옴표가 삭제된 `properties.DetectionMethods` 값은 `rule_name` 및 `detection_fields` (키: `Detection Method`)가 됩니다.
`Detection User`	`principal.user.userid`	`EventID`이 1116 또는 1117인 경우 사용됩니다.
`DeviceCategory`	`entity.asset.category`	`properties.DeviceCategory`의 값입니다.
`DeviceId`	`principal.asset_id`	syslog/JSON 또는 XML을 파싱할 때 `WINDOWS_DEFENDER:` + `DeviceId` JSON을 파싱할 때 `DeviceId:` + `properties.DeviceId`
`DeviceName`	`principal.hostname`, `principal.asset.hostname`	syslog/JSON 또는 XML을 파싱할 때 `DeviceName` JSON을 파싱할 때 `properties.DeviceName` `properties.RawEventData.DeviceName`(있는 경우)
`DeviceType`	`read_only_udm.additional.fields`	키: `DeviceType`, 값: `properties.DeviceType`
`Domain`	`principal.administrative_domain`	syslog/JSON 또는 XML을 파싱할 때 사용됩니다.
`Dynamic Signature Compilation Timestamp`	`security_result.description`	`EventID`이 2010년 또는 2011년인 경우 `security_result.description`의 일부입니다.
`Dynamic Signature Type`	`security_result.description`	`EventID`이 2010년 또는 2011년인 경우 `security_result.description`의 일부입니다.
`Dynamic Signature Version`	`security_result.description`	`EventID`이 2010년 또는 2011년인 경우 `security_result.description`의 일부입니다.
`EmailClusterId`	`read_only_udm.additional.fields`	키: `EmailClusterId`, 값: `properties.EmailClusterId`
`EmailDirection`	`network.direction`	값이 `Inbound`이면 `INBOUND`로 설정합니다. `Outbound`이면 `OUTBOUND`로 설정합니다. 그렇지 않으면 `UNKNOWN_DIRECTION`로 설정합니다.
`EmailLanguage`	`read_only_udm.additional.fields`	키: `EmailLanguage`, 값: `properties.EmailLanguage`
`Engine Version`	`security_result.description`	`EventID`이 1011일 때 `security_result.description`의 일부입니다.
`EnforcementMode`	`read_only_udm.additional.fields`	키: `EnforcementMode`, 값: `properties.EnforcementMode`
`Error Code`	`security_result.description`	`EventID`가 1117 또는 2001인 경우 `security_result.description`의 일부입니다.
`Error Description`	`security_result.description`	`EventID`가 1117 또는 2001인 경우 `security_result.description`의 일부입니다.
`EventID`	`metadata.product_event_type`	syslog/JSON 또는 XML을 파싱할 때 `metadata.product_event_type`의 일부입니다.
`EventTime`	`metadata.event_timestamp`	파싱되어 `metadata.event_timestamp`를 생성합니다.
`ExchangeLocations`	`security_result.category_details`	`properties.RawEventData.ExchangeLocations`의 값입니다.
`ExternalAccess`	`read_only_udm.additional.fields`	키: `ExternalAccess`, 값: `properties.RawEventData.ExternalAccess`
`FailureReason`	`security_result.description`	`ActionType`이 `LogonFailed`일 때 `properties.FailureReason`의 값입니다.
`FileExtension`	`read_only_udm.additional.fields`	키: `FileExtension`, 값: `properties.RawEventData.FileExtension`
`FileName`	`about.file.full_path`	`category`에 `EmailAttachmentInfo`가 포함된 경우 `properties.FileName`의 값입니다. 그 외의 경우 `target.process.file.full_path`를 사용합니다.
`FileSize`	`target.process.file.size`	`properties.FileSize` 값을 부호 없는 정수로 변환합니다.
`FileSize`	`about.file.size`	`category`에 `EmailAttachmentInfo`가 포함된 경우 부호 없는 정수로 변환된 `properties.FileSize` 값입니다.
`FileSize`	`principal.process.file.size`	`properties.RawEventData.FileSize` 값을 부호 없는 정수로 변환합니다.
`FileType`	`about.file.mime_type`	`category`에 `EmailAttachmentInfo`가 포함된 경우 `properties.FileType`의 값입니다. 그 외의 경우 `target.process.file.mime_type`를 사용합니다.
`FileType`	`read_only_udm.additional.fields`	키: `FileType`, 값: 비어 있지 않으면 `properties.RawEventData.FileType`, `Unknown`이면 `Unknown`
`FolderPath`	`target.file.full_path`	`properties.FolderPath`의 값입니다.
`FolderPath`	`target.process.file.full_path`	`ActionType`이 `CreateRemoteThreadApiCall`, `ExploitGuardNonMicrosoftSignedBlocked`, `DriverLoad`, `FileRenamed`, `OpenProcessApiCall`, `ReadProcessMemoryApiCall`, `ImageLoaded` 또는 `properties.ActionType`인 경우 `FolderPath`의 값은 `FileCreatedOnNetworkShare`입니다.
`Hidden`	`read_only_udm.additional.fields`	키: `Hidden`, 값: `properties.RawEventData.Hidden`
`Hostname`	`principal.hostname`, `principal.asset.hostname`	syslog/JSON 또는 XML을 파싱할 때 사용됩니다.
`IPAddresses`	`entity.asset.ip`	IPv6 링크-로컬, IPv4 APIPA, IPv6 루프백, IPv6 멀티캐스트, 루프백 주소를 제외한 `IPAddresses` 배열의 각 객체 내 `IPAddress` 필드입니다.
`IPAddress`	`principal.ip`, `principal.asset.ip`	유효한 IP 주소인 경우 `properties.IPAddress` 값입니다.
`IPCategory`	`read_only_udm.additional.fields`	키: `IPCategory`, 값: `properties.IPCategory`
`IPTags`	`read_only_udm.additional.fields`	키: `IPTags`, 값: `properties.IPTags`
`ISP`	`read_only_udm.additional.fields`	키: `ISP`, 값: `properties.ISP`
`InitiatingProcessAccountName`	`principal.user.userid`	이 요소가 있고 `properties.AccountName`가 비어 있거나 둘 다 있는 경우 채워집니다.
`InitiatingProcessAccountSid`	`principal.user.windows_sid`	이 요소가 있고 `properties.AccountSid`가 비어 있거나 둘 다 있는 경우 채워집니다.
`InitiatingProcessAccountUpn`	`principal.user.email_addresses`	`properties.InitiatingProcessAccountUpn`의 값입니다.
`InitiatingProcessCommandLine`	`principal.process.command_line`	따옴표가 삭제된 `properties.InitiatingProcessCommandLine`의 값입니다.
`InitiatingProcessFileName`	`principal.process.file.full_path`	`properties.InitiatingProcessFileName`의 값입니다.
`InitiatingProcessFileSize`	`principal.process.file.size`	`properties.InitiatingProcessFileSize` 값을 부호 없는 정수로 변환합니다.
`InitiatingProcessFolderPath`	`principal.process.file.full_path`	`properties.InitiatingProcessFolderPath`의 값입니다.
`InitiatingProcessId`	`principal.process.pid`	`properties.InitiatingProcessId` 값을 문자열로 변환합니다.
`InitiatingProcessIntegrityLevel`	`about.labels`, `principal.resource.attribute.labels`	키: `InitiatingProcessIntegrityLevel`, 값: `properties.InitiatingProcessIntegrityLevel`
`InitiatingProcessMD5`	`principal.process.file.md5`	`properties.InitiatingProcessMD5`의 값입니다.
`InitiatingProcessParentFileName`	`principal.process.parent_process.file.full_path`	`properties.InitiatingProcessParentFileName`의 값입니다.
`InitiatingProcessParentId`	`principal.process.parent_process.pid`	`properties.InitiatingProcessParentId` 값을 문자열로 변환합니다.
`InitiatingProcessSHA1`	`principal.process.file.sha1`	`properties.InitiatingProcessSHA1`의 값입니다.
`InitiatingProcessSHA256`	`principal.process.file.sha256`	`properties.InitiatingProcessSHA256`의 값입니다.
`InitiatingProcessSignatureStatus`	`read_only_udm.additional.fields`	키: `InitiatingProcessSignatureStatus`, 값: `properties.InitiatingProcessSignatureStatus`
`InitiatingProcessSignerType`	`read_only_udm.additional.fields`	키: `InitiatingProcessSignerType`, 값: `properties.InitiatingProcessSignerType`
`InitiatingProcessTokenElevation`	`about.labels`, `principal.resource.attribute.labels`	키: `InitiatingProcessTokenElevation`, 값: `properties.InitiatingProcessTokenElevation`
`InitiatingProcessVersionInfoCompanyName`	`principal.user.company_name`	`properties.InitiatingProcessVersionInfoCompanyName`의 값입니다.
`InitiatingProcessVersionInfoFileDescription`	`principal.resource.attribute.labels`	키: `File Description`, 값: `properties.InitiatingProcessVersionInfoFileDescription`
`InitiatingProcessVersionInfoInternalFileName`	`principal.resource.attribute.labels`	키: `File Name`, 값: `properties.InitiatingProcessVersionInfoInternalFileName`
`InitiatingProcessVersionInfoOriginalFileName`	`principal.resource.attribute.labels`	키: `Original File Name`, 값: `properties.InitiatingProcessVersionInfoOriginalFileName`
`InitiatingProcessVersionInfoProductName`	`read_only_udm.additional.fields`	키: `InitiatingProcessVersionInfoProductName`, 값: `properties.InitiatingProcessVersionInfoProductName`
`InitiatingProcessVersionInfoProductVersion`	`metadata.product_version`	`properties.InitiatingProcessVersionInfoProductVersion`의 값입니다.
`InternetMessageId`	`read_only_udm.additional.fields`	키: `InternetMessageId`, 값: `properties.InternetMessageId`(각괄호가 삭제됨)
`IsAdminOperation`	`read_only_udm.additional.fields`	키: `IsAdminOperation`, 값: `properties.IsAdminOperation`
`IsAnonymousProxy`	`read_only_udm.additional.fields`	키: `IsAnonymousProxy`, 값: `properties.IsAnonymousProxy`
`IsExternalUser`	`read_only_udm.additional.fields`	키: `IsExternalUser`, 값: `properties.IsExternalUser`
`IsImpersonated`	`read_only_udm.additional.fields`	키: `IsImpersonated`, 값: `properties.IsImpersonated`
`IsLocalAdmin`	`about.labels`, `principal.resource.attribute.labels`	키: `IsLocalAdmin`, 값: `properties.IsLocalAdmin`의 불리언 값에 따라 `true` 또는 `false`
`LoggedOnUsers`	`target.user.userid`, `entity.relations.entity.user.userid`	`LoggedOnUsers` 배열의 각 객체 내 `UserName` 필드는 `target.user.userid` 및 관련 사용자 항목으로 추가됩니다. `Sid` 필드는 `entity.relations.entity.user.windows_sid`로 추가됩니다.
`LocalIP`	`principal.ip`, `principal.asset.ip`	JSON을 파싱할 때의 `LocalIP` 값입니다.
`LocalPort`	`principal.port`	JSON을 파싱할 때 정수로 변환된 `LocalPort` 값입니다.
`LogonType`	`extensions.auth.mechanism`	값에 따라 UDM 인증 메커니즘에 매핑됩니다.
`LogonType`	`read_only_udm.additional.fields`	키: `LogonType`, 값: `properties.RawEventData.LogonType`
`LogonUserSid`	`read_only_udm.additional.fields`	키: `LogonUserSid`, 값: `properties.RawEventData.LogonUserSid`
`MacAddress`	`entity.asset.mac`	콜론으로 구분된 문자열 형식의 `MacAddress` 또는 `properties.MacAddress` 값입니다.
`MailboxGuid`	`read_only_udm.additional.fields`	키: `MailboxGuid`, 값: `properties.RawEventData.MailboxGuid`
`MailboxOwnerMasterAccountSid`	`read_only_udm.additional.fields`	키: `MailboxOwnerMasterAccountSid`, 값: `properties.RawEventData.MailboxOwnerMasterAccountSid`
`MailboxOwnerSid`	`read_only_udm.additional.fields`	키: `MailboxOwnerSid`, 값: `properties.RawEventData.MailboxOwnerSid`
`MailboxOwnerUPN`	`read_only_udm.additional.fields`	키: `MailboxOwnerUPN`, 값: `properties.RawEventData.MailboxOwnerUPN`
`MD5`	`target.process.file.md5`	`properties.MD5`의 값입니다.
`Message`	`security_result.description`	`EventID`이 1000, 1001, 1002, 1013, 1116, 1117, 2000, 2001, 2002, 2010, 2011 또는 5007인 경우 `security_result.description`의 일부입니다.
`NetworkAdapterType`	`metadata.product_event_type`	JSON을 파싱할 때의 `NetworkAdapterType` 값입니다.
`NetworkMessageId`	`network.email.mail_id`	`properties.NetworkMessageId`의 값입니다.
`New Value`	`security_result.description`	`EventID`이 5007인 경우 `security_result.description`의 일부입니다.
`Object Name`	`read_only_udm.additional.fields`	키: `ObjectName`, 값: `properties.ObjectName`
`Object Type`	`read_only_udm.additional.fields`	키: `ObjectType`, 값: `properties.ObjectType`
`ObjectId`	`read_only_udm.additional.fields`	키: `ObjectId`, 값: `properties.ObjectId` 또는 `properties.RawEventData.ObjectId`
`Old Value`	`security_result.description`	`EventID`이 5007인 경우 `security_result.description`의 일부입니다.
`Operation`	`read_only_udm.additional.fields`	키: `Operation`, 값: `properties.RawEventData.Operation`
`operationName`	`read_only_udm.additional.fields`	키: `OperationName`, 값: `operationName`
`OrganizationId`	`read_only_udm.additional.fields`	키: `OrganizationId`, 값: `properties.RawEventData.OrganizationId`
`OrganizationName`	`read_only_udm.additional.fields`	키: `OrganizationName`, 값: `properties.RawEventData.OrganizationName`
`OriginatingServer`	`read_only_udm.additional.fields`	키: `OriginatingServer`, 값: `properties.RawEventData.OriginatingServer`
`OSPlatform`	`asset.platform_software.platform`	값에 `macos`가 포함된 경우 `platform`를 `MAC`로 설정합니다. `windows`이면 `WINDOWS`로 설정합니다. `nix`이면 `LINUX`로 설정합니다.
`OSVersion`	`asset.platform_software.platform_version`	`properties.OSVersion`의 값입니다.
`Path`	`target.file.full_path`	`EventID`이 1011 또는 1116인 경우 사용됩니다.
`Persistence Limit Type`	`security_result.description`	`EventID`이 2010년 또는 2011년인 경우 `security_result.description`의 일부입니다.
`Persistence Limit Value`	`security_result.description`	`EventID`이 2010년 또는 2011년인 경우 `security_result.description`의 일부입니다.
`Persistence Path`	`target.file.full_path`	`EventID`이 2010 또는 2011인 경우 사용됩니다.
`Previous Engine Version`	`security_result.description`	`EventID`이 2000, 2001 또는 2002인 경우 `security_result.description`의 일부입니다.
`PreviousRegistryKey`	`target.registry.registry_key`	`properties.PreviousRegistryKey`의 값입니다.
`PreviousRegistryValueData`	`target.resource.attribute.labels`	키: `PreviousRegistryValueData`, 값: `properties.PreviousRegistryValueData`
`PreviousRegistryValueName`	`target.resource.attribute.labels`	키: `PreviousRegistryValueName`, 값: `properties.PreviousRegistryValueName`
`Previous security intelligence Version`	`security_result.description`	`EventID`이 2001일 때 `security_result.description`의 일부입니다.
`Previous Signature Version`	`security_result.description`	`EventID`이 2000일 때 `security_result.description`의 일부입니다.
`ProcessCommandLine`	`target.process.command_line`	`properties.ProcessCommandLine`의 값입니다.
`ProcessID`	`principal.process.pid`	syslog/JSON 또는 XML을 파싱할 때 사용됩니다.
`ProcessId`	`target.process.pid`	`properties.ProcessId` 값을 문자열로 변환합니다.
`Process Name`	`target.process.pid`	`EventID`이 1116 또는 1117인 경우 사용됩니다.
`Product Version`	`metadata.product_version`	syslog/JSON 또는 XML을 파싱할 때 사용됩니다.
`Protocol`	`network.ip_protocol`	값에 `Tcp`가 포함된 경우 `TCP`로 설정합니다. `Udp`이면 `UDP`로 설정합니다. `Icmp`이면 `ICMP`로 설정합니다.
`ProviderGuid`	`principal.resource.id`	syslog/JSON 또는 XML을 파싱할 때 사용됩니다.
`PublicIP`	`principal.ip`, `principal.asset.ip`	`properties.PublicIP`의 값입니다.
`RawEventData.Application`	`principal.application`	`properties.RawEventData.Application`의 값입니다.
`RawEventData.ClientIP`	`principal.ip`, `principal.asset.ip`	유효한 IP 주소인 경우 `properties.RawEventData.ClientIP` 값입니다.
`RawEventData.ClientIPAddress`	`principal.ip`, `principal.asset.ip`	유효한 IP 주소인 경우 `properties.RawEventData.ClientIPAddress` 값입니다.
`RawEventData.ClientInfoString`	`read_only_udm.additional.fields`	키: `ClientInfoString`, 값: `properties.RawEventData.ClientInfoString`
`RawEventData.ClientProcessName`	`read_only_udm.additional.fields`	키: `ClientProcessName`, 값: `properties.RawEventData.ClientProcessName`
`RawEventData.ClientRequestId`	`read_only_udm.additional.fields`	키: `ClientRequestId`, 값: `properties.RawEventData.ClientRequestId`
`RawEventData.ClientVersion`	`read_only_udm.additional.fields`	키: `ClientVersion`, 값: `properties.RawEventData.ClientVersion`
`RawEventData.CreationTime`	`read_only_udm.additional.fields`	키: `CreationTime`, 값: `properties.RawEventData.CreationTime`
`RawEventData.DeviceName`	`principal.hostname`, `principal.asset.hostname`	`properties.RawEventData.DeviceName`의 값입니다.
`RawEventData.DestinationLocationType`	`read_only_udm.additional.fields`	키: `DestinationLocationType`, 값: `properties.RawEventData.DestinationLocationType`
`RawEventData.ExchangeLocations`	`security_result.category_details`	`properties.RawEventData.ExchangeLocations`의 값입니다.
`RawEventData.ExternalAccess`	`read_only_udm.additional.fields`	키: `ExternalAccess`, 값: `properties.RawEventData.ExternalAccess`
`RawEventData.FileExtension`	`read_only_udm.additional.fields`	키: `FileExtension`, 값: `properties.RawEventData.FileExtension`
`RawEventData.FileSize`	`target.process.file.size`	`properties.RawEventData.FileSize` 값을 부호 없는 정수로 변환합니다.
`RawEventData.FileType`	`read_only_udm.additional.fields`	키: `FileType`, 값: 비어 있지 않으면 `properties.RawEventData.FileType`, `Unknown`이면 `Unknown`
`RawEventData.Hidden`	`read_only_udm.additional.fields`	키: `Hidden`, 값: `properties.RawEventData.Hidden`
`RawEventData.Id`	`read_only_udm.additional.fields`	키: `RawEventDataId`, 값: `properties.RawEventData.Id`
`RawEventData.Item.Id`	`item_idm.read_only_udm.additional.fields`	키: `RawEventDataItemId`, 값: `properties.RawEventData.item.id`
`RawEventData.LogonType`	`read_only_udm.additional.fields`	키: `LogonType`, 값: `properties.RawEventData.LogonType`
`RawEventData.LogonUserSid`	`read_only_udm.additional.fields`	키: `LogonUserSid`, 값: `properties.RawEventData.LogonUserSid`
`RawEventData.MailboxGuid`	`read_only_udm.additional.fields`	키: `MailboxGuid`, 값: `properties.RawEventData.MailboxGuid`
`RawEventData.MailboxOwnerMasterAccountSid`	`read_only_udm.additional.fields`	키: `MailboxOwnerMasterAccountSid`, 값: `properties.RawEventData.MailboxOwnerMasterAccountSid`
`RawEventData.MailboxOwnerSid`	`read_only_udm.additional.fields`	키: `MailboxOwnerSid`, 값: `properties.RawEventData.MailboxOwnerSid`
`RawEventData.MailboxOwnerUPN`	`read_only_udm.additional.fields`	키: `MailboxOwnerUPN`, 값: `properties.RawEventData.MailboxOwnerUPN`
`RawEventData.MDATPDeviceId`	`read_only_udm.additional.fields`	키: `MDATPDeviceId`, 값: `properties.RawEventData.MDATPDeviceId`
`RawEventData.ObjectId`	`read_only_udm.additional.fields`	키: `ObjectId`, 값: `properties.RawEventData.ObjectId`
`RawEventData.Operation`	`read_only_udm.additional.fields`	키: `Operation`, 값: `properties.RawEventData.Operation`
`RawEventData.OrganizationId`	`read_only_udm.additional.fields`	키: `OrganizationId`, 값: `properties.RawEventData.OrganizationId`
`RawEventData.OrganizationName`	`read_only_udm.additional.fields`	키: `OrganizationName`, 값: `properties.RawEventData.OrganizationName`
`RawEventData.OriginatingServer`	`read_only_udm.additional.fields`	키: `OriginatingServer`, 값: `properties.RawEventData.OriginatingServer`
`RawEventData.ParentFolder.Id`	`read_only_udm.additional.fields`	키: `RawEventDataParentFolderId`, 값: `properties.RawEventData.ParentFolder.Id`
`RawEventData.Pid`	`target.process.pid`	`properties.RawEventData.Pid` 값을 문자열로 변환합니다.
`RawEventData.Query`	`read_only_udm.additional.fields`	키: `Query`, 값: `properties.RawEventData.Query`
`RawEventData.RecordType`	`network.dns.questions.type`	`properties.RawEventData.RecordType` 값을 부호 없는 정수로 변환합니다.
`RawEventData.ResultStatus`	`read_only_udm.additional.fields`	키: `ResultStatus`, 값: `properties.RawEventData.ResultStatus`
`RawEventData.Scope`	`read_only_udm.additional.fields`	키: `Scope`, 값: `properties.RawEventData.Scope`
`RawEventData.SessionId`	`network.session_id`	`properties.RawEventData.SessionId`의 값입니다.
`RawEventData.Sha1`	`target.process.file.sha1`	`properties.RawEventData.Sha1`의 값입니다.
`RawEventData.Sha256`	`target.process.file.sha256`	`properties.RawEventData.Sha256`의 값입니다.
`RawEventData.TargetDomain`	`target.hostname`, `target.asset.hostname`	`properties.RawEventData.TargetDomain`의 값입니다.
`RawEventData.TargetFilePath`	`target.file.full_path`	`properties.RawEventData.TargetFilePath`의 값입니다.
`RawEventData.UserId`	`principal.user.email_addresses`	`properties.RawEventData.UserId`의 값입니다(이메일 주소인 경우).
`RawEventData.UserKey`	`read_only_udm.additional.fields`	키: `UserKey`, 값: `properties.RawEventData.UserKey`
`RawEventData.UserType`	`read_only_udm.additional.fields`	키: `UserType`, 값: `properties.RawEventData.UserType`
`RawEventData.Version`	`read_only_udm.additional.fields`	키: `Version`, 값: `properties.RawEventData.Version`
`RawEventData.Workload`	`read_only_udm.additional.fields`	키: `Workload`, 값: `properties.RawEventData.Workload`
`RecipientEmailAddress`	`network.email.to`, `target.user.email_addresses`	`properties.RecipientEmailAddress`의 값입니다.
`RecipientObjectId`	`target.user.product_object_id`	`properties.RecipientObjectId`의 값입니다.
`RegistryKey`	`target.registry.registry_key`	`properties.RegistryKey`의 값입니다.
`RegistryValueData`	`target.registry.registry_value_data`	`properties.RegistryValueData`의 값입니다.
`RegistryValueName`	`target.registry.registry_value_name`	`properties.RegistryValueName`의 값입니다.
`Remediation User`	`intermediary.user.userid`	`EventID`이 1117인 경우 사용됩니다.
`RemoteDeviceName`	`target.hostname`, `target.asset.hostname`	`properties.RemoteDeviceName`의 값입니다.
`RemoteIP`	`target.ip`, `target.asset.ip`	값이 비어 있지 않은 경우 `properties.RemoteIP`, `-` 또는 `null`입니다.
`RemoteIPType`	`about.labels`, `principal.resource.attribute.labels`	키: `RemoteIPType`, 값: `properties.RemoteIPType`
`RemotePort`	`target.port`	`properties.RemotePort` 값을 정수로 변환합니다.
`RemoteUrl`	`target.url`	`properties.RemoteUrl`의 값입니다. 호스트 이름이 포함된 경우 호스트 이름이 추출되어 `target.hostname` 및 `target.asset.hostname`에 매핑됩니다.
`Removal Reason Value`	`security_result.description`	`EventID`이 2011인 경우 `security_result.description`의 일부입니다.
`ReportId`	`metadata.product_log_id`	`properties.ReportId` 값을 문자열로 변환합니다.
`Scan ID`	`security_result.description`	`EventID`이 1000, 1001 또는 1002인 경우 `security_result.description`의 일부입니다.
`Scan Parameters`	`security_result.description`	`EventID`이 1000, 1001 또는 1002인 경우 `security_result.description`의 일부입니다.
`Scan Resources`	`target.file.full_path`	`EventID`가 1,000인 경우에 사용됩니다.
`Scan Time Hours`	`security_result.description`	`EventID`이 1001일 때 `security_result.description`의 일부입니다.
`Scan Time Minutes`	`security_result.description`	`EventID`이 1001일 때 `security_result.description`의 일부입니다.
`Scan Time Seconds`	`security_result.description`	`EventID`이 1001일 때 `security_result.description`의 일부입니다.
`Scan Type`	`security_result.description`	`EventID`이 1000, 1001 또는 1002인 경우 `security_result.description`의 일부입니다.
`Security intelligence Type`	`security_result.description`	`EventID`이 2001일 때 `security_result.description`의 일부입니다.
`Security intelligence Version`	`security_result.description`	`EventID`이 1011일 때 `security_result.description`의 일부입니다.
`SenderDisplayName`	`principal.user.user_display_name`	`properties.SenderDisplayName`의 값입니다.
`SenderFromAddress`	`network.email.from`, `principal.user.email_addresses`	`properties.SenderFromAddress`의 값입니다.
`SenderFromDomain`	`principal.administrative_domain`	`properties.SenderFromDomain`의 값입니다.
`SenderIPv4`	`principal.ip`, `principal.asset.ip`	`properties.SenderIPv4`의 값입니다.
`SenderIPv6`	`principal.ip`, `principal.asset.ip`	`properties.SenderIPv6`의 값입니다.
`SenderMailFromAddress`	`principal.user.attribute.labels`	키: `SenderMailFromAddress`, 값: `properties.SenderMailFromAddress`
`SenderMailFromDomain`	`principal.user.attribute.labels`	키: `SenderMailFromDomain`, 값: `properties.SenderMailFromDomain`
`SenderObjectId`	`principal.user.product_object_id`	`properties.SenderObjectId`의 값입니다.
`Severity Name`	`security_result.severity`	값이 `Low`이면 `LOW`로 설정합니다. `Moderate`이면 `MEDIUM`로 설정합니다. `High` 또는 `Severe`이면 `HIGH`로 설정합니다.
`Severity`	`security_result.severity`	값에 `informational`가 포함된 경우 `INFORMATIONAL`로 설정합니다. `low`이면 `LOW`로 설정합니다. `medium`이면 `MEDIUM`로 설정합니다. `high`이면 `HIGH`로 설정합니다. 그렇지 않으면 `UNKNOWN_SEVERITY`로 설정합니다.
`Severity`	`security_result.severity_details`	`properties.Severity`의 값입니다.
`SHA1`	`target.process.file.sha1`	`properties.SHA1`의 값입니다.
`SHA256`	`target.process.file.sha256`	`properties.SHA256`의 값입니다.
`SHA256`	`about.file.sha256`	`category`에 `EmailAttachmentInfo`가 포함된 경우 `properties.SHA256`의 값입니다.
`Signature Type`	`security_result.description`	`EventID`이 2000 또는 2010인 경우 `security_result.description`의 일부입니다.
`SourceModuleName`	`target.resource.name`	`EventID`이 2008인 경우 사용됩니다.
`Source Path`	`security_result.description`	`EventID`이 2001일 때 `security_result.description`의 일부입니다.
`Subject`	`network.email.subject`	`properties.Subject`의 값입니다.
`Tenant`	`read_only_udm.additional.fields`	키: `Tenant`, 값: `Tenant`
`tenantId`	`observer.cloud.project.id`, `target.resource_ancestors.product_object_id`	`tenantId` 또는 `properties.tenantId` 값입니다.
`Threat ID`	`security_result.threat_name`	`EventID`이 1011 또는 1116인 경우 `security_result.threat_name`의 일부입니다.
`ThreatNames`	`security_result.threat_name`	`properties.ThreatNames`의 값입니다.
`Threat Types`	`security_result.category`	값이 `Phish`인 경우 `security_result_category`를 `MAIL_PHISHING`로 설정합니다. 그렇지 않으면 `UNKNOWN_CATEGORY`로 설정합니다.
`Timestamp`	`security_result.description`	`EventID`이 1013인 경우 `security_result.description`의 일부입니다.
`Timestamp`	`metadata.event_timestamp`	파싱되어 `metadata.event_timestamp`를 생성합니다.
`Timestamp`	`entity.asset.system_last_update_time`	`category`이 `AdvancedHunting-DeviceNetworkInfo`일 때 `properties.Timestamp`의 값입니다.
`Title`	`security_result.threat_name`	`properties.Title`의 값입니다.
`Update Source`	`security_result.description`	`EventID`이 2001일 때 `security_result.description`의 일부입니다.
`Update State`	`security_result.description`	`EventID`이 2001일 때 `security_result.description`의 일부입니다.
`Update Type`	`security_result.description`	`EventID`이 2000 또는 2001인 경우 `security_result.description`의 일부입니다.
`UserAgent`	`network.http.user_agent`	`properties.UserAgent`의 값입니다.
`UserAgentTags`	`additional.fields`	`properties.UserAgentTags` 배열의 각 요소는 키가 `UserAgentTags`인 라벨로 추가됩니다.
`Url`	`target.url`	`properties.Url`의 값입니다.
`UrlCount`	`read_only_udm.additional.fields`	키: `UrlCount`, 값: `properties.UrlCount`
`UrlDomain`	`target.hostname`, `target.asset.hostname`	`properties.UrlDomain`의 값입니다.
`UrlLocation`	`read_only_udm.additional.fields`	키: `UrlLocation`, 값: `properties.UrlLocation`
`User`	`target.user.userid`	`EventID`이 1000, 1001, 1002, 1011, 1013, 2000, 2002이거나 `Message`에 `\tUser:`가 포함된 경우에 사용됩니다.
`UserID`	`principal.user.userid`	`EventID`이 2010 또는 2011인 경우 사용됩니다.
(파서 로직)	`metadata.event_type`	처음에는 `GENERIC_EVENT`로 설정된 후 다른 필드와 로직에 따라 덮어씁니다. 일반적인 값은 `NETWORK_CONNECTION`, `PROCESS_LAUNCH`, `FILE_CREATION`, `FILE_MODIFICATION`, `USER_LOGIN`, `SCAN_HOST`, `SCAN_PROCESS`, `SYSTEM_AUDIT_LOG_WIPE`, `SETTING_MODIFICATION`, `FILE_DELETION`, `PROCESS_MODULE_LOAD`, `PROCESS_UNCATEGORIZED`, `STATUS_UPDATE`, `PROCESS_OPEN`, `NETWORK_DNS`, `FILE_MOVE`, `REGISTRY_CREATION`, `REGISTRY_DELETION`, `REGISTRY_MODIFICATION`, `SCHEDULED_TASK_CREATION`, `SCHEDULED_TASK_DELETION`, `SCHEDULED_TASK_MODIFICATION`, `SCAN_NETWORK`, `USER_UNCATEGORIZED`입니다.
(파서 로직)	`metadata.vendor_name`	`Microsoft`로 설정합니다.
(파서 로직)	`metadata.product_name`	처음에는 `Windows Defender ATP`로 설정된 후 `category` 필드에 의해 덮어쓸 수 있습니다.
(파서 로직)	`metadata.product_event_type`	처음에는 `GENERIC_EVENT`로 설정된 후 다른 필드와 로직에 따라 덮어씁니다.
(파서 로직)	`metadata.product_version`	`Product Version` 또는 `properties.InitiatingProcessVersionInfoProductVersion`에 따라 설정합니다.
(파서 로직)	`metadata.log_type`	`WINDOWS_DEFENDER_ATP`로 설정합니다.
(파서 로직)	`principal.resource.type`	syslog/JSON 또는 XML을 파싱할 때 `PROVIDER`로 설정합니다.
(파서 로직)	`target.resource_ancestors`	`product_object_id`가 `tenantId`로 설정된 단일 조상을 포함합니다.
(파서 로직)	`security_result.summary`	`EventID`, `properties.ActionType`, `properties.Title`, `properties.Category`에 따라 설정합니다.
(파서 로직)	`security_result.description`	`EventID` 또는 `properties.ActionType`에 따라 다양한 필드에서 구성됩니다.
(파서 로직)	`security_result.action`	처음에는 `ALLOW`로 설정된 후 `AdditionalFields.WasRemediated`, `ActionType` 또는 `Action Name`에 따라 덮어쓸 수 있습니다.
(파서 로직)	`security_result.severity`	`Severity Name` 또는 `properties.Severity`에 따라 설정합니다.
(파서 로직)	`security_result.category`	`Threat Types`를 기준으로 설정합니다.
(파서 로직)	`network.direction`	`RemoteIP`, `LocalIP` 또는 `EmailDirection`에 따라 설정합니다.
(파서 로직)	`network.ip_protocol`	`metadata.event_type`가 `NETWORK_CONNECTION`이면 `TCP`로 설정합니다.
(파서 로직)	`network.session_id`	`properties.RawEventData.SessionId`를 기준으로 설정합니다.
(파서 로직)	`network.http.user_agent`	`properties.UserAgent`를 기준으로 설정합니다.
(파서 로직)	`network.email.mail_id`	`properties.NetworkMessageId`를 기준으로 설정합니다.
(파서 로직)	`network.email.subject`	`properties.Subject`를 기준으로 설정합니다.
(파서 로직)	`network.email.from`	`properties.SenderFromAddress`를 기준으로 설정합니다.
(파서 로직)	`network.email.to`	`properties.RecipientEmailAddress`를 기준으로 설정합니다.
(파서 로직)	`network.dns.questions.name`	`AdditionalFields.DnsQueryString`를 기준으로 설정합니다.
(파서 로직)	`network.dns.questions.type`	`properties.RawEventData.RecordType`를 기준으로 설정합니다.
(파서 로직)	`network.dns.answers`	`AdditionalFields.DnsQueryResult`에서 생성됩니다.
(파서 로직)	`extensions.auth.type`	`ActionType`가 `LogonAttempted` 또는 `LogonSuccess`인 경우 `MACHINE`로 설정합니다.
(파서 로직)	`extensions.auth.mechanism`	`LogonType` 또는 `AdditionalFields.IsLocalLogon`에 따라 설정합니다.
(파서 로직)	`extensions.auth.auth_details`	`properties.AuthenticationDetails`를 기준으로 설정합니다.
(파서 로직)	`entity.asset.asset_id`	`WINDOWS:` + `DeviceId` 또는 `properties.DeviceId`를 사용하여 구성됩니다.
(파서 로직)	`entity.asset.product_object_id`	`DeviceId` 또는 `properties.DeviceId`로 설정합니다.
(파서 로직)	`entity.asset.network_domain`	`ConnectedNetworks`에서 추출되었습니다.
(파서 로직)	`entity.asset.ip`	`IPAddresses`, `_ipaddress`, `PublicIP` 또는 `LocalIP`에 따라 설정합니다.
(파서 로직)	`entity.asset.mac`	`MacAddress` 또는 `properties.MacAddress`에 따라 설정합니다.
(파서 로직)	`entity.asset.hostname`	`DeviceName` 또는 `properties.DeviceName`에 따라 설정합니다.
(파서 로직)	`entity.asset.platform_software.platform`	`OSPlatform`를 기준으로 설정합니다.
(파서 로직)	`entity.asset.platform_software.platform_version`	`OSVersion`를 기준으로 설정합니다.
(파서 로직)	`entity.asset.category`	`DeviceCategory`를 기준으로 설정합니다.
(파서 로직)	`entity.asset.type`	기기 및 네트워크 정보 이벤트의 경우 `WORKSTATION`로 설정합니다.
(파서 로직)	`entity.asset.system_last_update_time`	네트워크 정보 이벤트의 경우 `properties.Timestamp`를 기반으로 설정합니다.
(파서 로직)	`entity.relations`	`LoggedOnUsers`에서 생성됩니다.
(파서 로직)	`entity.metadata.entity_type`	기기, 네트워크, 애셋 이벤트의 경우 `ASSET`로 설정합니다.
(파서 로직)	`about.labels`	UDM 스키마에 직접 맞지 않는 다양한 필드의 라벨을 포함합니다.
(파서 로직)	`principal.user.attribute.labels`	다양한 사용자 관련 필드의 라벨을 포함합니다.
(파서 로직)	`principal.resource.attribute.labels`	다양한 리소스 관련 필드의 라벨을 포함합니다.
(파서 로직)	`target.resource.resource_type`	예약된 작업 이벤트의 경우 `TASK`로, 설정 수정 이벤트의 경우 `SETTING`로 설정합니다.
(파서 로직)	`target.resource.name`	`SourceModuleName`, `AdditionalFields.TaskName` 또는 `_taskname`에 따라 설정합니다.
(파서 로직)	`target.resource.product_object_id`	`properties.ReportId`를 기준으로 설정합니다.
(파서 로직)	`target.resource_ancestors`	`tenantId`를 기준으로 설정합니다.
(파서 로직)	`target.registry.registry_key`	`RegistryKey`, `PreviousRegistryKey` 또는 `properties.RegistryKey`에 따라 설정합니다.
(파서 로직)	`target.registry.registry_value_name`	`RegistryValueName` 또는 `properties.RegistryValueName`에 따라 설정합니다.
(파서 로직)	`target.registry.registry_value_data`	`RegistryValueData` 또는 `properties.RegistryValueData`에 따라 설정합니다.
(파서 로직)	`intermediary.user.userid`	`Remediation User`를 기준으로 설정합니다.
(파서 로직)	`metadata.collected_timestamp`	애셋 및 네트워크 정보 이벤트의 이벤트 타임스탬프로 설정합니다.

변경사항

2024-10-15

개선사항:

ReportId 필드를 올바르게 파싱하는 지원을 추가했습니다.

2024-06-20

개선사항:

security_result.summary가 FileUploadedToCloud인 경우 로그 지원을 추가했습니다.

2024-05-28

개선사항:

properties.Application를 principal.application에 매핑했습니다.
properties.AccountDisplayName를 principal.user.user_display_name에 매핑했습니다.
properties.AccountId를 principal.user.product_object_id에 매핑했습니다.
properties.AccountType를 principal.user.attribute.labels에 매핑했습니다.
properties.UserAgent를 network.http.user_agent에 매핑했습니다.
properties.RawEventData.Id, properties.RawEventData.item.id, properties.RawEventData.ParentFolder.Id, properties.AppInstanceId, properties.ActivityType, properties.ActivityObjects, properties.ApplicationId, properties.DeviceType, properties.EnforcementMode, properties.IsAnonymousProxy, properties.IsAdminOperation, properties.IsExternalUser, properties.IsImpersonated, properties.RawEventData.MDATPDeviceId, properties.AdditionalFields.IsSatelliteProvider, properties.RawEventData.DestinationLocationType, properties.RawEventData.CreationTime, properties.RawEventData.FileExtension, properties.RawEventData.Hidden, properties.RawEventData.FileType, properties.IPCategory, properties.ISP, properties.IPTags, properties.RawEventData.UserType, properties.RawEventData.Version, properties.RawEventData.Workload, properties.UserAgentTags, operationName, properties.ObjectType, properties.RawEventData.Operation, properties.ObjectName, properties.RawEventData.Scope,properties.RawEventData.ClientProcessName, properties.RawEventData.ClientInfoString, properties.RawEventData.ClientRequestId, properties.RawEventData.ClientVersion, properties.RawEventData.ExternalAccess, properties.RawEventData.LogonType, properties.RawEventData.LogonUserSid, properties.RawEventData.MailboxGuid, properties.RawEventData.UserKey을 additional.fields에 매핑했습니다.
properties.RawEventData.ClientIP 및 properties.IPAddress를 principal.ip 및 principal.asset.ip에 매핑했습니다.
properties.RawEventData.DeviceName를 principal.hostname 및 principal.asset.hostname에 매핑했습니다.
properties.ActionType이 FolderBind인 경우 metadata.event_type를 FILE_CREATION에 매핑했습니다.

2024-04-02

properties.AccountObjectId를 principal.user.userid에 매핑했습니다.
properties.CountryCode를 principal.location.country_or_region에 매핑했습니다.
properties.City를 principal.location.city에 매핑했습니다.
properties.RawEventData.Application를 principal.application에 매핑했습니다.
properties.RawEventData.TargetFilePath를 target.file.full_path에 매핑했습니다.
properties.IPAddress를 principal.ip에 매핑했습니다.
properties.RawEventData.DeviceName를 principal.hostname 및 principal.asset.hostname에 매핑했습니다.
properties.AccountDisplayName를 principal.user.user_display_name에 매핑했습니다.
properties.ApplicationId를 additional.fields에 매핑했습니다.
properties.RawEventData.FileExtension를 additional.fields에 매핑했습니다.
properties.RawEventData.MDATPDeviceId를 additional.fields에 매핑했습니다.
properties.RawEventData.FileType를 additional.fields에 매핑했습니다.
properties.RawEventData.Sha1를 target.process.file.sha1에 매핑했습니다.
properties.RawEventData.Sha256를 target.process.file.sha256에 매핑했습니다.
properties.RawEventData.FileSize를 target.process.file.size에 매핑했습니다.
properties.ActionType이 FileCreatedOnNetworkShare인 경우 metadata.event_type를 FILE_CREATION에 매핑했습니다.

2024-03-05

저작물 정보가 있는 로그의 metadata.entity_type를 ASSET에 매핑했습니다.
properties.DeviceId를 entity.asset.asset_id에 매핑했습니다.

2023-12-08

버그 수정:

properties.InitiatingProcessFolderPath를 principal.process.file.full_path에 매핑하는 문제를 수정했습니다.

2023-11-25

개선사항:

AdditionalFields 및 properties.AdditionalFields를 principal.resource.attribute.labels에 매핑했습니다.
tenantId를 resource_ancestors.product_object_id에 매핑했습니다.

2023-10-12

개선사항:

properties.ActionType 값을 확인하는 동안 맞춤법이 FileUploadedCloud에서 FileUploadedToCloud로 수정되었습니다.
properties.IPAddress를 principal.ip에 매핑했습니다.
properties.RawEventData.Sha1를 principal.process.file.sha1에 매핑했습니다.
properties.RawEventData.Sha256를 principal.process.file.sha256에 매핑했습니다.
properties.RawEventData.FileSize를 principal.process.file.size에 매핑했습니다.
UDM 필드에 매핑하기 전에 properties.SenderFromAddress 및 properties.RawEventData.UserId에 유효성 검사가 추가되었습니다.

2023-10-09

개선사항:

'properties.ObjectId'가 'additional.fields'에 매핑되었습니다.
'properties.RawEventData.Pid'가 'target.process.pid'에 매핑되었습니다.
실패 로그의 Delete NetworkSecurityGroups 작업 유형에 대한 조건을 추가했습니다.
properties.SenderFromAddress 필드를 파싱하는 정규식을 추가했습니다.

2023-09-20

개선사항:

'properties.RegistryValueData'가 'target.registry.registry_value_data'에 매핑되었습니다.
'properties.RegistryValueName'을 'target.registry.registry_value_name'에 매핑했습니다.
properties.RegistryValueName도 있는 경우 'properties.PreviousRegistryValueName'을 target.resource.attribute.labels에 매핑했습니다.
properties.RegistryValueData도 있는 경우 'properties.PreviousRegistryValueData'를 target.resource.attribute.labels에 매핑했습니다.

2023-09-04

개선사항:

'properties.RegistryValueData'가 'target.registry.registry_value_data'에 매핑되었습니다.
'properties.RegistryValueName'을 'target.registry.registry_value_name'에 매핑했습니다.
properties.RegistryValueName도 있는 경우 'properties.PreviousRegistryValueName'을 target.resource.attribute.labels에 매핑했습니다.
properties.RegistryValueData도 있는 경우 'properties.PreviousRegistryValueData'를 target.resource.attribute.labels에 매핑했습니다.
SearchPreviewed, FileUploadedCloud의 'properties.ActionType'의 경우 다음 필드가 매핑되었습니다.
'properties.ApplicationId'가 'additional.fields'에 매핑되었습니다.
'properties.AccountDisplayName'이 'principal.user.user_display_name'에 매핑되었습니다.
'properties.AccountObjectId'가 'principal.user.userid'에 매핑되었습니다.
'properties.RawEventData.UserId'가 'principal.user.email_addresses'에 매핑되었습니다.
'properties.RawEventData.ObjectId'가 'additional.fields'에 매핑되었습니다.
'properties.RawEventData.ExchangeLocations'가 'security_result.category_details'에 매핑되었습니다.
'properties.RawEventData.TargetDomain'이 'target.hostname'에 매핑되었습니다.
'properties.RawEventData.Query'가 'additional.fields'에 매핑되었습니다.
'AdvancedHunting-DeviceProcessEvents'에 대한 추가 필드가 매핑되었습니다.
'properties.InitiatingProcessSignerType'이 'additional.fields'에 매핑되었습니다.
'properties.InitiatingProcessSignatureStatus'가 'additional.fields'에 매핑되었습니다.
'properties.ProcessVersionInfoProductName'이 'additional.fields'에 매핑되었습니다.
'properties.InitiatingProcessVersionInfoProductName'이 'additional.fields'에 매핑되었습니다.
'properties.ProcessVersionInfoCompanyName'이 'principal.user.company_name'에 매핑되었습니다.

2023-06-06

개선사항:

properties.Url가 target.url에 매핑되었습니다.
properties.UrlDomain가 target.hostname에 매핑되었습니다.
properties.UrlLocation가 additional.fields에 매핑되었습니다.

2023-03-01

개선사항:

properties.InitiatingProcessVersionInfoCompanyName를 principal.user.company_name에 매핑했습니다.
properties.InitiatingProcessVersionInfoProductVersion를 metadata.product_version에 매핑했습니다.
properties.InitiatingProcessVersionInfoInternalFileName를 principal.resource.attribute.labels에 매핑했습니다.
properties.InitiatingProcessVersionInfoOriginalFileName를 principal.resource.attribute.labels에 매핑했습니다.
properties.properties.InitiatingProcessVersionInfoFileDescription를 principal.resource.attribute.labels에 매핑했습니다.
properties.AlertId를 metadata.product_log_id에 매핑했습니다.
properties.InitiatingProcessAccountUpn 필드에 대한 정규 표현식 조건 검사를 추가했습니다.
target.hostname 블록에 on_error 검사를 추가했습니다.

2022-12-20

버그 수정:

불안정성을 줄이기 위해 properties.AdditionalFields의 on_error 검사를 추가했습니다.
실패 로그의 Write NetworkSecurityGroups, Edit NetworkSecurityGroups, FileModifiedExtended 작업 유형에 대한 조건을 추가했습니다.

2022-10-20

개선사항:

properties.ReportId를 target.resource.product_object_id에 매핑했습니다.
properties.DeviceId를 principal.asset_id에 매핑했습니다.

2022-09-20

개선사항:

고객별 파서를 기본값으로 병합했습니다.

2022-07-29

개선사항:

EventID: 2006,2004,2033,2005,2008,0를 사용하여 로그를 파싱했습니다.
이전에 파싱되지 않은 새로운 JSON 형식 로그에 대한 지원이 추가되었습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받아 보세요.