Palo Alto Prisma Cloud 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Google Security Operations 피드를 설정하여 Palo Alto Prisma Cloud 로그를 수집하는 방법을 설명합니다.
자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 PAN_PRISMA_CLOUD 수집 라벨이 있는 파서에 적용됩니다.
Palo Alto Prisma Cloud 구성
- 관리자 계정으로 Palo Alto Prisma Cloud Console에 로그인합니다.
- Settings(설정) 메뉴에서 Access Keys(액세스 키)를 클릭합니다.
- Add New(새로 추가)를 클릭하고 Name(이름)을 입력합니다.
만들기를 클릭합니다. Access Key ID(액세스 키 ID) 및 Secret Key(보안 비밀 키) 값이 나타납니다.
Access Key ID(액세스 키 ID) 및 Secret Key(보안 비밀 키) 값을 저장합니다. 이러한 값은 Google Security Operations 피드를 구성할 때 필요합니다.
피드 설정
피드를 구성하려면 다음 단계를 따르세요.
- SIEM 설정 > 피드로 이동합니다.
- 새 피드 추가를 클릭합니다.
- 다음 페이지에서 단일 피드 구성을 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다(예: Palo Alto Prisma Cloud 로그).
- 소스 유형으로 서드 파티 API를 선택합니다.
- 로그 유형으로 Palo Alto Prisma Cloud를 선택합니다.
- 다음을 클릭합니다.
- 다음 필수 입력 매개변수를 구성합니다.
- 사용자 이름: 이전에 가져온 액세스 키 ID를 지정합니다.
- 비밀번호: 이전에 가져온 보안 비밀 키를 지정합니다.
- API 호스트 이름: API 호스트 이름을 지정합니다.
- 다음을 클릭한 후 제출을 클릭합니다.
필드 매핑 참조
이 파서 코드는 JSON 형식의 PAN PRISMA CLOUD 로그에서 필드를 추출하고, 데이터 변환 및 매핑을 실행하여 데이터를 Chronicle UDM 스키마로 구조화합니다. 중첩된 객체와 배열을 비롯한 다양한 로그 메시지 구조를 처리하여 Chronicle 내에서 분석할 수 있도록 다양한 보안 이벤트와 컨텍스트 정보를 정규화합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| accountName | read_only_udm.target.resource.attribute.cloud.project.id | accountName 필드에서 직접 매핑됩니다. |
| accountId | read_only_udm.target.hostname | accountId 필드에서 직접 매핑됩니다. |
| accountId | read_only_udm.target.asset.hostname | accountId 필드에서 직접 매핑됩니다. |
| accountId | read_only_udm.principal.cloud.project.id | aggregatedAlerts 배열의 accountId 필드에서 직접 매핑됩니다. |
| action | read_only_udm.security_result.description | JSON 부분을 삭제한 후 action 필드에서 직접 매핑됩니다. |
| alertId | read_only_udm.metadata.product_log_id | alertId 필드에서 직접 매핑됩니다. |
| alertRules.0.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_0 | alertRules.0.allowAutoRemediate 필드에서 직접 매핑됩니다. |
| alertRules.0.enabled | read_only_udm.security_result.detection_fields.enabled_0 | alertRules.0.enabled 필드에서 직접 매핑됩니다. |
| alertRules.0.name | read_only_udm.security_result.detection_fields.name_0 | alertRules.0.name 필드에서 직접 매핑됩니다. |
| alertRules.0.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_0 | alertRules.0.notifyOnDismissed 필드에서 직접 매핑됩니다. |
| alertRules.0.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_0 | alertRules.0.notifyOnOpen 필드에서 직접 매핑됩니다. |
| alertRules.0.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_0 | alertRules.0.notifyOnResolved 필드에서 직접 매핑됩니다. |
| alertRules.0.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_0 | alertRules.0.notifyOnSnoozed 필드에서 직접 매핑됩니다. |
| alertRules.0.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_0 | alertRules.0.policyScanConfigId 필드에서 직접 매핑됩니다. |
| alertRules.0.scanAll | read_only_udm.security_result.detection_fields.scanAll_0 | alertRules.0.scanAll 필드에서 직접 매핑됩니다. |
| alertRules.1.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_1 | alertRules.1.allowAutoRemediate 필드에서 직접 매핑됩니다. |
| alertRules.1.createdBy | read_only_udm.principal.user.email_addresses | alertRules.1.createdBy 필드에서 직접 매핑됩니다. |
| alertRules.1.enabled | read_only_udm.security_result.detection_fields.enabled_1 | alertRules.1.enabled 필드에서 직접 매핑됩니다. |
| alertRules.1.name | read_only_udm.security_result.detection_fields.name_1 | alertRules.1.name 필드에서 직접 매핑됩니다. |
| alertRules.1.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_1 | alertRules.1.notifyOnDismissed 필드에서 직접 매핑됩니다. |
| alertRules.1.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_1 | alertRules.1.notifyOnOpen 필드에서 직접 매핑됩니다. |
| alertRules.1.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_1 | alertRules.1.notifyOnResolved 필드에서 직접 매핑됩니다. |
| alertRules.1.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_1 | alertRules.1.notifyOnSnoozed 필드에서 직접 매핑됩니다. |
| alertRules.1.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_1 | alertRules.1.policyScanConfigId 필드에서 직접 매핑됩니다. |
| alertRules.1.scanAll | read_only_udm.security_result.detection_fields.scanAll_1 | alertRules.1.scanAll 필드에서 직접 매핑됩니다. |
| alertRules.2.allowAutoRemediate | read_only_udm.security_result.detection_fields.allowAutoRemediate_2 | alertRules.2.allowAutoRemediate 필드에서 직접 매핑됩니다. |
| alertRules.2.createdBy | read_only_udm.principal.user.email_addresses | alertRules.2.createdBy 필드에서 직접 매핑됩니다. |
| alertRules.2.enabled | read_only_udm.security_result.detection_fields.enabled_2 | alertRules.2.enabled 필드에서 직접 매핑됩니다. |
| alertRules.2.name | read_only_udm.security_result.detection_fields.name_2 | alertRules.2.name 필드에서 직접 매핑됩니다. |
| alertRules.2.notifyOnDismissed | read_only_udm.security_result.detection_fields.notifyOnDismissed_2 | alertRules.2.notifyOnDismissed 필드에서 직접 매핑됩니다. |
| alertRules.2.notifyOnOpen | read_only_udm.security_result.detection_fields.notifyOnOpen_2 | alertRules.2.notifyOnOpen 필드에서 직접 매핑됩니다. |
| alertRules.2.notifyOnResolved | read_only_udm.security_result.detection_fields.notifyOnResolved_2 | alertRules.2.notifyOnResolved 필드에서 직접 매핑됩니다. |
| alertRules.2.notifyOnSnoozed | read_only_udm.security_result.detection_fields.notifyOnSnoozed_2 | alertRules.2.notifyOnSnoozed 필드에서 직접 매핑됩니다. |
| alertRules.2.policyScanConfigId | read_only_udm.security_result.detection_fields.policyScanConfigId_2 | alertRules.2.policyScanConfigId 필드에서 직접 매핑됩니다. |
| alertRules.2.scanAll | read_only_udm.security_result.detection_fields.scanAll_2 | alertRules.2.scanAll 필드에서 직접 매핑됩니다. |
| alertRuleId | read_only_udm.security_result.rule_id | alertRuleId 필드에서 직접 매핑됩니다. |
| alertRuleName | read_only_udm.security_result.rule_name | alertRuleName 필드에서 직접 매핑됩니다. |
| alertStatus | read_only_udm.security_result.detection_fields.event message alertStatus | event_data.msg_data 객체의 alertStatus 필드에서 직접 매핑됩니다. |
| alertTs | read_only_udm.metadata.event_timestamp.seconds | UNIX 타임스탬프로 변환된 후 alertTs 필드에서 직접 매핑됩니다. |
| alertTs | read_only_udm.metadata.event_timestamp.nanos | UNIX 타임스탬프로 변환된 후 alertTs 필드에서 직접 매핑됩니다. |
| callbackUrl | read_only_udm.metadata.url_back_to_product | callbackUrl 필드에서 직접 매핑됩니다. |
| cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | cloudServiceName 필드에서 직접 매핑됩니다. |
| cloudType | read_only_udm.target.resource.attribute.cloud.environment | cloudType 필드에서 매핑되었습니다. cloudType이 'gcp'인 경우 값은 'GOOGLE_CLOUD_PLATFORM'으로 설정됩니다. cloudType이 'aws'인 경우 값은 'AMAZON_WEB_SERVICES'로 설정됩니다. |
| complianceMetadata.0.requirementId | read_only_udm.security_result.rule_id | complianceMetadata.0.requirementId 필드에서 직접 매핑됩니다. |
| complianceMetadata.0.requirementName | read_only_udm.security_result.summary | complianceMetadata.0.requirementName 필드에서 직접 매핑됩니다. |
| complianceMetadata.0.standardName | read_only_udm.security_result.rule_name | complianceMetadata.0.standardName 필드에서 직접 매핑됩니다. |
| complianceMetadata.1.requirementId | read_only_udm.security_result.rule_id | complianceMetadata.1.requirementId 필드에서 직접 매핑됩니다. |
| complianceMetadata.1.requirementName | read_only_udm.security_result.summary | complianceMetadata.1.requirementName 필드에서 직접 매핑됩니다. |
| complianceMetadata.1.standardName | read_only_udm.security_result.rule_name | complianceMetadata.1.standardName 필드에서 직접 매핑됩니다. |
| complianceMetadata.2.requirementId | read_only_udm.security_result.rule_id | complianceMetadata.2.requirementId 필드에서 직접 매핑됩니다. |
| complianceMetadata.2.requirementName | read_only_udm.security_result.summary | complianceMetadata.2.requirementName 필드에서 직접 매핑됩니다. |
| complianceMetadata.2.standardName | read_only_udm.security_result.rule_name | complianceMetadata.2.standardName 필드에서 직접 매핑됩니다. |
| complianceMetadata.3.requirementId | read_only_udm.security_result.rule_id | complianceMetadata.3.requirementId 필드에서 직접 매핑됩니다. |
| complianceMetadata.3.requirementName | read_only_udm.security_result.summary | complianceMetadata.3.requirementName 필드에서 직접 매핑됩니다. |
| complianceMetadata.3.standardName | read_only_udm.security_result.rule_name | complianceMetadata.3.standardName 필드에서 직접 매핑됩니다. |
| complianceMetadata.4.requirementId | read_only_udm.security_result.rule_id | complianceMetadata.4.requirementId 필드에서 직접 매핑됩니다. |
| complianceMetadata.4.requirementName | read_only_udm.security_result.summary | complianceMetadata.4.requirementName 필드에서 직접 매핑됩니다. |
| complianceMetadata.4.standardName | read_only_udm.security_result.rule_name | complianceMetadata.4.standardName 필드에서 직접 매핑됩니다. |
| event_data.app | read_only_udm.target.application | event_data.app 필드에서 직접 매핑됩니다. |
| event_data.msg_data.account.cloudType | read_only_udm.target.resource.attribute.cloud.environment | event_data.msg_data.account.cloudType 필드에서 매핑되었습니다. 값이 'aws'인 경우 'AMAZON_WEB_SERVICES'로 설정됩니다. |
| event_data.msg_data.account.id | read_only_udm.target.cloud.project.id | event_data.msg_data.account.id 필드에서 직접 매핑됩니다. |
| event_data.msg_data.account.name | read_only_udm.target.cloud.project.name | event_data.msg_data.account.name 필드에서 직접 매핑됩니다. |
| event_data.msg_data.accountIDs | read_only_udm.principal.resource.attribute.labels.event message accountId {index} | event_data.msg_data.accountIDs 배열에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.category | read_only_udm.security_result.category_details | event_data.msg_data.aggregatedAlerts.0.category 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.command | read_only_udm.principal.process.command_line | event_data.msg_data.aggregatedAlerts.0.command 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | event_data.msg_data.aggregatedAlerts.0.collections 배열에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category | read_only_udm.security_result.category_details | event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.category 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description | read_only_udm.security_result.description | event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.description 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity | read_only_udm.security_result.severity | 대문자로 변환된 후 event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.severity 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title | read_only_udm.security_result.action_details | event_data.msg_data.aggregatedAlerts.0.complianceIssues.0.title 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.container | read_only_udm.target.resource.name | event_data.msg_data.aggregatedAlerts.0.container 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.containerID | read_only_udm.target.resource.product_object_id | event_data.msg_data.aggregatedAlerts.0.containerID 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.fqdn | read_only_udm.principal.domain.name | event_data.msg_data.aggregatedAlerts.0.fqdn 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.hostname | event_data.msg_data.aggregatedAlerts.0.host 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.host | read_only_udm.principal.asset.hostname | event_data.msg_data.aggregatedAlerts.0.host 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.image | read_only_udm.target.resource.attribute.labels.image | event_data.msg_data.aggregatedAlerts.0.image 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.imageID | read_only_udm.target.resource.attribute.labels.imageID | event_data.msg_data.aggregatedAlerts.0.imageID 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.labels.controller-uid | read_only_udm.target.user.product_object_id | event_data.msg_data.aggregatedAlerts.0.labels.controller-uid 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.name 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | event_data.msg_data.aggregatedAlerts.0.labels.io.kubernetes.pod.uid 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.msg_data | read_only_udm.security_result.description | event_data.msg_data.aggregatedAlerts.0.msg_data 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.rule | read_only_udm.security_result.rule_name | event_data.msg_data.aggregatedAlerts.0.rule 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.startupProcess | read_only_udm.principal.application | event_data.msg_data.aggregatedAlerts.0.startupProcess 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.seconds | UNIX 타임스탬프로 변환된 후 event_data.msg_data.aggregatedAlerts.0.time 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.time | read_only_udm.metadata.event_timestamp.nanos | UNIX 타임스탬프로 변환된 후 event_data.msg_data.aggregatedAlerts.0.time 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.type | read_only_udm.security_result.category_details | event_data.msg_data.aggregatedAlerts.0.type 필드에서 직접 매핑됩니다. |
| event_data.msg_data.aggregatedAlerts.0.user | read_only_udm.principal.user.userid | event_data.msg_data.aggregatedAlerts.0.user 필드에서 직접 매핑됩니다. |
| event_data.msg_data.alertId | read_only_udm.security_result.detection_fields.event message alertId | event_data.msg_data.alertId 필드에서 직접 매핑됩니다. |
| event_data.msg_data.alertRuleId | read_only_udm.security_result.rule_id | event_data.msg_data.alertRuleId 필드에서 직접 매핑됩니다. |
| event_data.msg_data.alertRuleName | read_only_udm.security_result.rule_name | event_data.msg_data.alertRuleName 필드에서 직접 매핑됩니다. |
| event_data.msg_data.alertStatus | read_only_udm.security_result.detection_fields.event message alertStatus | event_data.msg_data.alertStatus 필드에서 직접 매핑됩니다. |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.seconds | UNIX 타임스탬프로 변환된 후 event_data.msg_data.alertTs 필드에서 직접 매핑됩니다. |
| event_data.msg_data.alertTs | read_only_udm.metadata.event_timestamp.nanos | UNIX 타임스탬프로 변환된 후 event_data.msg_data.alertTs 필드에서 직접 매핑됩니다. |
| event_data.msg_data.category | read_only_udm.security_result.category_details | event_data.msg_data.category 필드에서 직접 매핑됩니다. |
| event_data.msg_data.collections | read_only_udm.target.resource.attribute.labels.Collection {index} | event_data.msg_data.collections 배열에서 직접 매핑됩니다. |
| event_data.msg_data.command | read_only_udm.principal.process.command_line | event_data.msg_data.command 필드에서 직접 매핑됩니다. |
| event_data.msg_data.complianceIssues.0.category | read_only_udm.security_result.category_details | event_data.msg_data.complianceIssues.0.category 필드에서 직접 매핑됩니다. |
| event_data.msg_data.complianceIssues.0.description | read_only_udm.security_result.description | event_data.msg_data.complianceIssues.0.description 필드에서 직접 매핑됩니다. |
| event_data.msg_data.complianceIssues.0.severity | read_only_udm.security_result.severity | 대문자로 변환된 후 event_data.msg_data.complianceIssues.0.severity 필드에서 직접 매핑됩니다. |
| event_data.msg_data.complianceIssues.0.title | read_only_udm.security_result.action_details | event_data.msg_data.complianceIssues.0.title 필드에서 직접 매핑됩니다. |
| event_data.msg_data.container | read_only_udm.target.resource.name | event_data.msg_data.container 필드에서 직접 매핑됩니다. |
| event_data.msg_data.containerID | read_only_udm.target.resource.product_object_id | event_data.msg_data.containerID 필드에서 직접 매핑됩니다. |
| event_data.msg_data.dropped | read_only_udm.security_result.detection_fields.dropped | 문자열로 변환된 후 event_data.msg_data.dropped 필드에서 직접 매핑됩니다. |
| event_data.msg_data.fqdn | read_only_udm.principal.domain.name | event_data.msg_data.fqdn 필드에서 직접 매핑됩니다. |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.seconds | UNIX 타임스탬프로 변환된 후 event_data.msg_data.firstSeen 필드에서 직접 매핑됩니다. |
| event_data.msg_data.firstSeen | read_only_udm.security_result.first_discovered_time.nanos | UNIX 타임스탬프로 변환된 후 event_data.msg_data.firstSeen 필드에서 직접 매핑됩니다. |
| event_data.msg_data.host | read_only_udm.principal.hostname | event_data.msg_data.host 필드에서 직접 매핑됩니다. |
| event_data.msg_data.host | read_only_udm.principal.asset.hostname | event_data.msg_data.host 필드에서 직접 매핑됩니다. |
| event_data.msg_data.image | read_only_udm.target.resource.attribute.labels.image | event_data.msg_data.image 필드에서 직접 매핑됩니다. |
| event_data.msg_data.imageID | read_only_udm.target.resource.attribute.labels.imageID | event_data.msg_data.imageID 필드에서 직접 매핑됩니다. |
| event_data.msg_data.labels.controller-uid | read_only_udm.target.user.product_object_id | event_data.msg_data.labels.controller-uid 필드에서 직접 매핑됩니다. |
| event_data.msg_data.labels.io.kubernetes.pod.name | read_only_udm.target.hostname | event_data.msg_data.labels.io.kubernetes.pod.name 필드에서 직접 매핑됩니다. |
| event_data.msg_data.labels.io.kubernetes.pod.uid | read_only_udm.target.resource.product_object_id | event_data.msg_data.labels.io.kubernetes.pod.uid 필드에서 직접 매핑됩니다. |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.seconds | UNIX 타임스탬프로 변환된 후 event_data.msg_data.lastSeen 필드에서 직접 매핑됩니다. |
| event_data.msg_data.lastSeen | read_only_udm.security_result.last_discovered_time.nanos | UNIX 타임스탬프로 변환된 후 event_data.msg_data.lastSeen 필드에서 직접 매핑됩니다. |
| event_data.msg_data.metadata.cveCritical | read_only_udm.security_result.detection_fields.event_data metadata cveCritical | event_data.msg_data.metadata.cveCritical 필드에서 직접 매핑됩니다. |
| event_data.msg_data.metadata.cveHigh | read_only_udm.security_result.detection_fields.event_data 메타데이터 cveHigh | event_data.msg_data.metadata.cveHigh 필드에서 직접 매핑됩니다. |
| event_data.msg_data.metadata.cveLow | read_only_udm.security_result.detection_fields.event_data metadata cveLow | event_data.msg_data.metadata.cveLow 필드에서 직접 매핑됩니다. |
| event_data.msg_data.metadata.cveMedium | read_only_udm.security_result.detection_fields.event_data metadata cveMedium | event_data.msg_data.metadata.cveMedium 필드에서 직접 매핑됩니다. |
| event_data.msg_data.metadata.source | read_only_udm.principal.hostname | event_data.msg_data.metadata.source 필드에서 직접 매핑됩니다. |
| event_data.msg_data.metadata.source | read_only_udm.principal.asset.hostname | event_data.msg_data.metadata.source 필드에서 직접 매핑됩니다. |
| event_data.msg_data.msg_data | read_only_udm.security_result.description | event_data.msg_data.msg_data 필드에서 직접 매핑됩니다. |
| event_data.msg_data.policy.description | read_only_udm.security_result.description | event_data.msg_data.policy.description 필드에서 직접 매핑됩니다. |
| event_data.msg_data.policy.id | read_only_udm.security_result.detection_fields.policy_id | event_data.msg_data.policy.id 필드에서 직접 매핑됩니다. |
| event_data.msg_data.policy.name | read_only_udm.security_result.summary | event_data.msg_data.policy.name 필드에서 직접 매핑됩니다. |
| event_data.msg_data.policy.policyTs | read_only_udm.additional.fields.policy_ts | event_data.msg_data.policy.policyTs 필드에서 직접 매핑됩니다. |
| event_data.msg_data.policy.policyType | read_only_udm.security_result.threat_name | event_data.msg_data.policy.policyType 필드에서 직접 매핑됩니다. |
| event_data.msg_data.policy.recommendation | read_only_udm.security_result.action_details | event_data.msg_data.policy.recommendation 필드에서 직접 매핑됩니다. |
| event_data.msg_data.policy.severity | read_only_udm.security_result.severity | 대문자로 변환된 후 event_data.msg_data.policy.severity 필드에서 직접 매핑됩니다. |
| event_data.msg_data.reason | read_only_udm.security_result.detection_fields.event message reason | event_data.msg_data.reason 필드에서 직접 매핑됩니다. |
| event_data.msg_data.region | read_only_udm.target.cloud.availability_zone | event_data.msg_data.region 필드에서 직접 매핑됩니다. |
| event_data.msg_data.resource.resourceId | read_only_udm.target.resource.product_object_id | event_data.msg_data.resource.resourceId 필드에서 직접 매핑됩니다. |
| event_data.msg_data.resource.resourceName | read_only_udm.target.resource.name | event_data.msg_data.resource.resourceName 필드에서 직접 매핑됩니다. |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.seconds | UNIX 타임스탬프로 변환된 후 event_data.msg_data.resource.resourceTs 필드에서 직접 매핑됩니다. |
| event_data.msg_data.resource.resourceTs | read_only_udm.target.resource.attribute.creation_time.nanos | UNIX 타임스탬프로 변환된 후 event_data.msg_data.resource.resourceTs 필드에서 직접 매핑됩니다. |
| event_data.msg_data.rule | read_only_udm.security_result.rule_name | event_data.msg_data.rule 필드에서 직접 매핑됩니다. |
| event_data.msg_data.service | read_only_udm.security_result.detection_fields.event message service | event_data.msg_data.service 필드에서 직접 매핑됩니다. |
| event_data.msg_data.startupProcess | read_only_udm.principal.application | event_data.msg_data.startupProcess 필드에서 직접 매핑됩니다. |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.seconds | UNIX 타임스탬프로 변환된 후 event_data.msg_data.time 필드에서 직접 매핑됩니다. |
| event_data.msg_data.time | read_only_udm.metadata.event_timestamp.nanos | UNIX 타임스탬프로 변환된 후 event_data.msg_data.time 필드에서 직접 매핑됩니다. |
| event_data.msg_data.type | read_only_udm.security_result.category_details | event_data.msg_data.type 필드에서 직접 매핑됩니다. |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.seconds | UNIX 타임스탬프로 변환된 후 event_data.sentTs 필드에서 직접 매핑됩니다. |
| event_data.sentTs | read_only_udm.metadata.event_timestamp.nanos | UNIX 타임스탬프로 변환된 후 event_data.sentTs 필드에서 직접 매핑됩니다. |
| event_data.type | read_only_udm.security_result.category_details | event_data.type 필드에서 직접 매핑됩니다. |
| ipAddress | read_only_udm.principal.ip | grok을 사용하여 IP 주소를 추출한 후 ipAddress 필드에서 직접 매핑됩니다. |
| ipAddress | read_only_udm.principal.asset.ip | grok을 사용하여 IP 주소를 추출한 후 ipAddress 필드에서 직접 매핑됩니다. |
| ipAddress | read_only_udm.additional.fields.ipAddress | 올바른 IP 주소가 아닌 경우 ipAddress 필드에서 직접 매핑됩니다. |
| json_action.0.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 0 | json_action.0.policy_id 필드에서 직접 매핑됩니다. |
| json_action.0.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 0 | json_action.0.resource_name 필드에서 직접 매핑됩니다. |
| json_action.1.policy_id | read_only_udm.target.resource.attribute.labels.Policy Id 1 | json_action.1.policy_id 필드에서 직접 매핑됩니다. |
| json_action.1.resource_name | read_only_udm.target.resource.attribute.labels.Resource Name 1 | json_action.1.resource_name 필드에서 직접 매핑됩니다. |
| policy.policyId | read_only_udm.security_result.rule_id | policy.policyId 필드에서 직접 매핑됩니다. |
| policy.policyType | read_only_udm.security_result.rule_type | policy.policyType 필드에서 직접 매핑됩니다. |
| policy.recommendation | read_only_udm.metadata.description | policy.recommendation 필드에서 직접 매핑됩니다. |
| policy.severity | read_only_udm.security_result.severity | policy.severity 필드에서 매핑되었습니다. 값이 'info'인 경우 'INFORMATIONAL'로 설정됩니다. |
| policyName | read_only_udm.metadata.description | policyName 필드에서 직접 매핑됩니다. |
| reason | read_only_udm.metadata.product_event_type | reason 필드에서 직접 매핑됩니다. |
| resource.accountId | read_only_udm.target.resource.product_object_id | resource.accountId 필드에서 직접 매핑됩니다. |
| resource.cloudServiceName | read_only_udm.target.resource.attribute.labels.cloudServiceName | resource.cloudServiceName 필드에서 직접 매핑됩니다. |
| resource.data.architecture | read_only_udm.principal.asset.hardware.cpu_platform | resource.data.architecture 필드에서 직접 매핑됩니다. |
| resource.data.cpuPlatform | read_only_udm.additional.fields.CPU Platform | resource.data.cpuPlatform 필드에서 직접 매핑됩니다. |
| resource.data.labelFingerprint | read_only_udm.security_result.detection_fields.labelFingerprint | resource.data.labelFingerprint 필드에서 직접 매핑됩니다. |
| resource.data.metadata.items.key | read_only_udm.additional.fields.key | resource.data.metadata.items.key 필드에서 직접 매핑됩니다. |
| resource.data.metadata.items.value | read_only_udm.additional.fields.value.string_value | resource.data.metadata.items.value 필드에서 직접 매핑됩니다. |
| resource.data.networkInterfaces.0.accessConfigs.0.natIP | read_only_udm.target.nat_ip | resource.data.networkInterfaces.0.accessConfigs.0.natIP 필드에서 직접 매핑됩니다. |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.ip | resource.data.networkInterfaces.0.networkIP 필드에서 직접 매핑됩니다. |
| resource.data.networkInterfaces.0.networkIP | read_only_udm.target.asset.ip | resource.data.networkInterfaces.0.networkIP 필드에서 직접 매핑됩니다. |
| resource.data.physicalBlockSizeBytes | read_only_udm.principal.resource.attribute.labels.physicalBlockSizeBytes | 문자열로 변환된 후 resource.data.physicalBlockSizeBytes 필드에서 직접 매핑됩니다. |
| resource.data.selfLink | read_only_udm.about.url | resource.data.selfLink 필드에서 직접 매핑됩니다. |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.email_addresses | resource.data.serviceAccounts.0.email 필드에서 직접 매핑됩니다. |
| resource.data.serviceAccounts.0.email | read_only_udm.principal.user.attribute.roles.type | resource.data.serviceAccounts.0.email에 'serviceaccount'가 포함된 경우 값은 'SERVICE_ACCOUNT'로 설정됩니다. |
| resource.data.sizeGb | read_only_udm.principal.resource.attribute.labels.sizeGb | resource.data.sizeGb 필드에서 직접 매핑됩니다. |
| resource.data.sourceImage | read_only_udm.principal.resource.attribute.labels.sourceImage | resource.data.sourceImage 필드에서 직접 매핑됩니다. |
| resource.name | read_only_udm.target.resource.name | resource.name 필드에서 직접 매핑됩니다. |
| resource.regionId | read_only_udm.target.location.country_or_region | `resource |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.