PowerShell 로그 수집

다음에서 지원:

이 문서에서는 Bindplane를 사용하여 Google Security Operations로 PowerShell 로그를 수집하는 방법을 설명합니다. 파서는 원시 Microsoft PowerShell 로그를 통합 데이터 모델 (UDM)로 변환합니다. 먼저 원시 로그 메시지에서 필드를 추출하여 UDM 필드로 표준화한 다음 특정 이벤트 ID를 기반으로 추가 컨텍스트로 데이터를 보강하여 궁극적으로 보안 분석을 위한 구조화된 UDM 이벤트를 만듭니다.

시작하기 전에

  • Google SecOps 인스턴스가 있는지 확인합니다.
  • Windows 2016 이상을 사용하고 있는지 확인합니다.
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.

Google SecOps 처리 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 처리 인증 파일을 다운로드합니다. Bindplane가 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Windows에 Bindplane 에이전트 설치

  1. 관리자 권한으로 명령 프롬프트 또는 PowerShell을 엽니다.

  2. 다음 명령어를 실행합니다.

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

추가 설치 리소스

Syslog를 수집하고 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. YAML 파일을 구성하기 전에 서비스 패널에서 observIQ Distro for Open Telemetry Collector 서비스를 중지합니다.

  2. 구성 파일에 액세스합니다.

    1. config.yaml 파일을 찾습니다. 일반적으로 Linux의 /etc/bindplane-agent/ 디렉터리 또는 Windows의 설치 디렉터리에 있습니다.
    2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

  3. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
  windowseventlog/powershell:
    channel: Microsoft-Windows-PowerShell/Operational
    max_reads: 100
    poll_interval: 5s
    raw: true
    start_at: end

processors:
  batch:

exporters:
  chronicle/powershell:
    endpoint: malachiteingestion-pa.googleapis.com
    # Adjust the path to the credentials file you downloaded in Step 1
    creds: '/path/to/ingestion-authentication-file.json'
    log_type: 'POWERSHELL'
    override_log_type: false
    raw_log_field: body
    customer_id: '<customer_id>'

service:
  pipelines:
    logs/winpowershell:
      receivers:
        - windowseventlog/powershell
      processors: [batch]
      exporters: [chronicle/powershell]

  4. <customer_id>를 실제 고객 ID로 바꿉니다.

  5. Google SecOps 처리 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

  6. config.yaml 파일을 저장한 후 observIQ Distro for Open Telemetry Collector 서비스시작합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

    net stop BindPlaneAgent && net start BindPlaneAgent

UDM 매핑 표

로그 필드 UDM 매핑 논리
AccountName principal.user.userid 원시 로그의 AccountName 필드에서 직접 매핑됩니다.
ActivityID security_result.detection_fields[0].value 원시 로그의 ActivityID 필드에서 직접 매핑됩니다. 중괄호가 삭제됩니다.
채널 IDM 객체에 매핑되지 않았습니다.
collection_time.nanos IDM 객체에 매핑되지 않았습니다.
collection_time.seconds IDM 객체에 매핑되지 않았습니다.
명령어 IDM 객체에 매핑되지 않았습니다.
CommandLine IDM 객체에 매핑되지 않았습니다.
컴퓨터 principal.hostname 원시 로그에 있는 Computer 필드에서 직접 매핑됩니다(있는 경우).
ContextInfo IDM 객체에 매핑되지 않았습니다.
ContextInfo_Command Name security_result.detection_fields[0].value 원시 로그에 있는 ContextInfo_Command Name 필드에서 직접 매핑됩니다(있는 경우).
ContextInfo_Command 유형 security_result.detection_fields[1].value 원시 로그에 있는 ContextInfo_Command Type 필드에서 직접 매핑됩니다(있는 경우).
ContextInfo_Host 애플리케이션 target.process.command_line powershell.Host Application가 없는 경우 원시 로그의 ContextInfo_Host Application 필드에서 직접 매핑됩니다.
ContextInfo_Host ID target.asset.asset_id powershell.Host ID가 없는 경우 원시 로그의 ContextInfo_Host ID 필드에서 직접 매핑됩니다. 값의 접두사는 Host ID:입니다.
ContextInfo_Host Name target.hostname powershell.Host Name가 없는 경우 원시 로그의 ContextInfo_Host Name 필드에서 직접 매핑됩니다.
ContextInfo_Script Name target.process.file.full_path script_name가 없는 경우 원시 로그의 ContextInfo_Script Name 필드에서 직접 매핑됩니다.
ContextInfo_Sequence Number security_result.detection_fields[2].value 원시 로그에 있는 ContextInfo_Sequence Number 필드에서 직접 매핑됩니다(있는 경우). 문자열로 변환됩니다.
ContextInfo_Severity IDM 객체에 매핑되지 않았습니다.
create_time.nanos IDM 객체에 매핑되지 않았습니다.
create_time.seconds IDM 객체에 매핑되지 않았습니다.
customer_id IDM 객체에 매핑되지 않았습니다.
데이터 IDM 객체에 매핑되지 않았습니다.
데이터 security_result.detection_fields[0].value 원시 로그에 있는 Data 필드에서 직접 매핑됩니다(있는 경우).
Data_1 security_result.detection_fields[1].value 원시 로그에 있는 Data_1 필드에서 직접 매핑됩니다(있는 경우).
Data_2 security_result.detection_fields[2].value 원시 로그에 있는 Data_2 필드에서 직접 매핑됩니다(있는 경우).
도메인 principal.administrative_domain 원시 로그의 Domain 필드에서 직접 매핑됩니다.
entries IDM 객체에 매핑되지 않았습니다.
ERROR_EVT_UNRESOLVED IDM 객체에 매핑되지 않았습니다.
EventCategory IDM 객체에 매핑되지 않았습니다.
EventData IDM 객체에 매핑되지 않았습니다.
EventID metadata.product_event_type, security_result.rule_name 원시 로그의 EventID 필드에서 직접 매핑됩니다. security_result.rule_name 필드의 경우 값 앞에 EventID:가 접두사로 추가됩니다.
EventLevel IDM 객체에 매핑되지 않았습니다.
EventLevelName security_result.severity EventLevelName:
값을 기반으로 매핑됩니다. InformationINFORMATIONAL에 매핑됩니다.
- VerboseLOW에 매핑됩니다.
EventLog IDM 객체에 매핑되지 않았습니다.
EventReceivedTime IDM 객체에 매핑되지 않았습니다.
EventType IDM 객체에 매핑되지 않았습니다.
EventTime metadata.event_timestamp 타임스탬프가 있는 경우 이를 추출하는 데 사용됩니다.
ExecutionProcessID principal.process.pid 원시 로그에 있는 ExecutionProcessID 필드에서 직접 매핑됩니다(있는 경우, 비어 있지 않고 0이 아닌 경우). 문자열로 변환됩니다.
ExecutionThreadID security_result.detection_fields[2].value 원시 로그에 있는 ExecutionThreadID 필드에서 직접 매핑됩니다(있는 경우, 비어 있지 않고 0이 아닌 경우). 문자열로 변환됩니다.
파일 target.process.file.full_path 원시 로그에 있는 File 필드에서 직접 매핑됩니다(있는 경우).
호스트 애플리케이션 IDM 객체에 매핑되지 않았습니다.
HostApplication IDM 객체에 매핑되지 않았습니다.
호스트 이름 principal.hostname 원시 로그의 Hostname 필드에서 직접 매핑됩니다.
id IDM 객체에 매핑되지 않았습니다.
키워드 IDM 객체에 매핑되지 않았습니다.
log_type metadata.log_type 원시 로그의 log_type 필드에서 직접 매핑됩니다.
머신 principal.asset.asset_id, principal.asset.platform_software.platform_version Machine 필드는 파싱되어 머신 ID 및 플랫폼 정보를 추출합니다. 머신 ID에는 Machine ID:라는 접두사가 붙습니다. 플랫폼은 값을 기반으로 UDM enum에 매핑됩니다.
- winWINDOWS에 매핑됩니다.
- macMAC에 매핑됩니다.
- linLINUX에 매핑됩니다.
- 다른 값은 UNKNOWN_PLATFORM에 매핑됩니다.
ManagementGroupName additional.fields[0].value.string_value 원시 로그에 있는 ManagementGroupName 필드에서 직접 매핑됩니다(있는 경우).
Message.EventTime metadata.event_timestamp 타임스탬프가 있는 경우 이를 추출하는 데 사용됩니다. 문자열로 변환됩니다.
Message.Message security_result.description EventID가 [403, 4103, 4104] 및 message_message_not_found에 있는 경우 원시 로그의 Message.Message 필드에서 직접 매핑됩니다. 캐리지 리턴 및 탭은 쉼표로 대체됩니다.
메시지 security_result.description 원시 로그에 있는 Message 필드에서 직접 매핑됩니다(있는 경우).
MessageNumber IDM 객체에 매핑되지 않았습니다.
MessageSourceAddress principal.ip 원시 로그에 있는 MessageSourceAddress 필드에서 직접 매핑됩니다(있는 경우).
MessageTotal IDM 객체에 매핑되지 않았습니다.
MG IDM 객체에 매핑되지 않았습니다.
명령 코드 metadata.description 원시 로그의 Opcode 필드에서 직접 매핑됩니다.
OpcodeValue IDM 객체에 매핑되지 않았습니다.
출력 security_result.detection_fields[0].value 원시 로그에 있는 Output 필드에서 직접 매핑됩니다(있는 경우).
powershell.Command Name security_result.detection_fields[0].value 있는 경우 powershell.Command Name 필드에서 직접 매핑됩니다.
powershell.Command 유형 security_result.detection_fields[1].value 있는 경우 powershell.Command Type 필드에서 직접 매핑됩니다.
powershell.Host 애플리케이션 target.process.command_line 원시 로그에 있는 powershell.Host Application 필드에서 직접 매핑됩니다(있는 경우).
powershell.Host ID target.asset.asset_id 원시 로그에 있는 powershell.Host ID 필드에서 직접 매핑됩니다(있는 경우). 값의 접두사는 Host ID:입니다.
powershell.Host Name target.hostname 원시 로그에 있는 powershell.Host Name 필드에서 직접 매핑됩니다(있는 경우).
powershell.HostApplication target.process.command_line 원시 로그에 있는 powershell.HostApplication 필드에서 직접 매핑됩니다(있는 경우).
powershell.HostId target.asset.asset_id 원시 로그에 있는 powershell.HostId 필드에서 직접 매핑됩니다(있는 경우). 값의 접두사는 Host ID:입니다.
powershell.HostName target.hostname 원시 로그에 있는 powershell.HostName 필드에서 직접 매핑됩니다(있는 경우).
powershell.Script Name target.process.file.full_path 원시 로그에 있는 powershell.Script Name 필드에서 직접 매핑됩니다(있는 경우).
powershell.ScriptName target.process.file.full_path 원시 로그에 있는 powershell.ScriptName 필드에서 직접 매핑됩니다(있는 경우).
powershell.Sequence Number security_result.detection_fields[2].value 원시 로그에 있는 powershell.Sequence Number 필드에서 직접 매핑됩니다(있는 경우).
powershell.SequenceNumber security_result.detection_fields[0].value 원시 로그에 있는 powershell.SequenceNumber 필드에서 직접 매핑됩니다(있는 경우).
powershell.UserId principal.user.userid 원시 로그에 있는 powershell.UserId 필드에서 직접 매핑됩니다(있는 경우).
프로세스 ID principal.process.pid ExecutionProcessIDProcessID가 없거나 비어 있거나 0인 경우 원시 로그의 Process ID 필드에서 직접 매핑됩니다. 문자열로 변환됩니다.
ProcessID principal.process.pid ExecutionProcessID가 없거나 비어 있거나 0인 경우 원시 로그의 ProcessID 필드에서 직접 매핑됩니다. 문자열로 변환됩니다.
ProviderGuid metadata.product_deployment_id 원시 로그의 ProviderGuid 필드에서 직접 매핑됩니다. 중괄호가 삭제됩니다.
PSEdition IDM 객체에 매핑되지 않았습니다.
PSRemotingProtocolVersion IDM 객체에 매핑되지 않았습니다.
PSVersion IDM 객체에 매핑되지 않았습니다.
RecordNumber metadata.product_log_id 원시 로그의 RecordNumber 필드에서 직접 매핑됩니다. 문자열로 변환됩니다.
RenderedDescription security_result.description 원시 로그에 있는 RenderedDescription 필드에서 직접 매핑됩니다(있는 경우).
RunAs 사용자 IDM 객체에 매핑되지 않았습니다.
ScriptBlockId IDM 객체에 매핑되지 않았습니다.
ScriptBlockText security_result.detection_fields[0].value 원시 로그에 있는 ScriptBlockText 필드에서 직접 매핑됩니다(있는 경우).
ScriptBlock ID IDM 객체에 매핑되지 않았습니다.
심각도 security_result.severity, security_result.severity_details Severity 값에 따라 매핑됩니다.
- verbose 또는 infoLOW에 매핑됩니다.
- warn 또는 errMEDIUM에 매핑됩니다.
- critHIGH에 매핑됩니다.
원시 값도 security_result.severity_details에 매핑됩니다.
source.collector_id IDM 객체에 매핑되지 않았습니다.
source.customer_id IDM 객체에 매핑되지 않았습니다.
소스 additional.fields[1].value.string_value 원시 로그에 있는 Source 필드에서 직접 매핑됩니다(있는 경우).
SourceModuleName principal.resource.name 원시 로그의 SourceModuleName 필드에서 직접 매핑됩니다.
SourceModuleType principal.resource.resource_subtype 원시 로그의 SourceModuleType 필드에서 직접 매핑됩니다.
SourceName metadata.product_name 원시 로그의 SourceName 필드에서 직접 매핑됩니다.
start_time.nanos IDM 객체에 매핑되지 않았습니다.
start_time.seconds IDM 객체에 매핑되지 않았습니다.
TenantId additional.fields[2].value.string_value 원시 로그에 있는 TenantId 필드에서 직접 매핑됩니다(있는 경우).
ThreadID IDM 객체에 매핑되지 않았습니다.
timestamp.nanos IDM 객체에 매핑되지 않았습니다.
timestamp.seconds IDM 객체에 매핑되지 않았습니다.
유형 IDM 객체에 매핑되지 않았습니다.
UserID principal.user.windows_sid 원시 로그의 UserID 필드에서 직접 매핑됩니다.
사용자 이름 principal.user.userid AccountName가 없는 경우 원시 로그의 Username 필드에서 직접 매핑됩니다.
metadata.vendor_name Microsoft로 설정합니다.
metadata.event_type EventID4104이고 _PathMessage에 있는 경우, EventID4103인 경우, EventID가 [800, 600, 400] 에 있고 powershell.ScriptNamepowershell.HostApplication가 있는 경우 PROCESS_LAUNCH로 설정합니다. EventID403이고 _HostApplicationMessage에 있거나 EventID403이고 NewEngineStateStopped이면 PROCESS_TERMINATION로 설정합니다. EventID4104이고 Message_Path가 없거나 EventID4103이고 no_value, script_name가 비어 있고 script_name_not_foundhost_application_not_found가 모두 true이거나 EventID53504이거나 EventID40962이거나 EventID40961이거나 EventID가 비어 있고 MessageSourceAddress가 있는 경우 STATUS_UPDATE로 설정합니다. EventID이 비어 있고 Username가 있는 경우 USER_UNCATEGORIZED로 설정합니다. EventID이 비어 있고 MessageSourceAddressUsername가 없는 경우 GENERIC_EVENT로 설정합니다.
metadata.product_name SourceName가 없으면 Powershell로 설정합니다.
security_result.action ALLOW로 설정합니다.
security_result.detection_fields[0].key Activity ID로 설정합니다.
security_result.detection_fields[1].key Sequence Number로 설정합니다.
security_result.detection_fields[2].key ExecutionThreadID로 설정합니다.
additional.fields[0].key Management Group Name로 설정합니다.
additional.fields[1].key Source로 설정합니다.
additional.fields[2].key TenantId로 설정합니다.
principal.asset.platform_software.platform platform_softwarewin이 포함되어 있으면 WINDOWS로, mac이 포함되어 있으면 MAC로, lin이 포함되어 있으면 LINUX로, 그렇지 않으면 UNKNOWN_PLATFORM로 설정합니다.
target.process.file.full_path EventID4104이고 _PathMessage에 있으면 _Path로 설정합니다. EventID4104이고 file_pathMessage에 있으면 file_path로 설정합니다. EventID403이고 _HostApplicationMessage에 있으면 _HostApplication로 설정합니다.

변경사항

2025-01-29

개선사항:

  • ScriptBlockText의 매핑을 security_result.detection_fields에서 target.process.command_line로 변경했습니다.

2025-01-28

개선사항:

  • 새 형식의 JSON 로그를 지원하도록 gsub를 추가했습니다.

2025-01-09

개선사항:

  • Payloadsecurity_result.detection_fields에 매핑했습니다.
  • Script Nametarget.file.full_path에 매핑했습니다.

2024-11-28

개선사항:

  • SYSLOG 로그의 새로운 패턴에 대한 지원이 추가되었습니다.

2024-08-20

개선사항:

  • JSON 로그를 파싱할 때 불필요한 문자를 삭제하는 gsub를 추가했습니다.

2024-08-14

개선사항:

  • Versionmetadata.product_version에 매핑했습니다.
  • SystemTimemetadata.event_timestamp에 매핑했습니다.
  • channel, keywords, MessageNumber, MessageTotal, ScriptBlockIdsecurity_result.detection_fields에 매핑했습니다.
  • Pathtarget.process.file.full_path에 매핑했습니다.

2024-07-24

개선사항:

  • JSON 로그의 새로운 패턴에 대한 지원이 추가되었습니다.

2024-07-20

개선사항:

  • HostApplicationprincipal.application에 매핑했습니다.
  • HostIdprincipal.resource.product_object_id에 매핑했습니다.
  • System.Computerprincipal.hostnameprincipal.asset.hostname에 매핑했습니다.
  • System.Versionmetadata.product_version에 매핑했습니다.
  • System.ProcessIDprincipal.process.pid에 매핑했습니다.
  • System.ProviderNameprincipal.resource.attribute.labels에 매핑했습니다.
  • HostVersion, RunspaceId, PipelineId, EngineVersion, DetailSequence, DetailTotal, SequenceNumber, ScriptNameadditional.fields에 매핑했습니다.
  • System.EventRecordID, System.Task, System.Keywords, System.Opcode, System.ThreadIDsecurity.detection_fields에 매핑했습니다.

2023-12-05

개선사항:

  • 파싱되지 않은 JSON 로그에 대한 매핑이 추가되었습니다.
  • Computerprincipal.hostname에 매핑했습니다.
  • EventLevelNamesecurity_result.severity에 매핑했습니다.
  • ManagementGroupName, Source, TenantIdadditional_fields에 매핑했습니다.
  • RenderedDescriptionsecurity_result.description에 매핑했습니다.
  • UserNameprincipal.user.userid에 매핑했습니다.

2023-09-14

개선사항:

  • 파싱되지 않은 JSON 로그에 대한 매핑이 추가되었습니다.
  • 'winlog.activity_id'가 'security_result.detection_fields'에 매핑되었습니다.
  • 'winlog.api'가 'additional.fields'에 매핑되었습니다.
  • 'winlog.channel', 'winlog.process.thread.id'가 'security_result.about.resource.attribute.labels'에 매핑되었습니다.
  • 'winlog.computer_name'이 'principal.hostname'에 매핑되었습니다.
  • 'winlog.event_id'가 'metadata.product_event_type' 및 'security_result.rule_name'에 매핑되었습니다.
  • 'winlog.opcode'를 'metadata.description'에 매핑했습니다.
  • 'winlog.process.pid'를 'principal.process.pid'에 매핑했습니다.
  • 'winlog.provider_guid'가 'metadata.product_deployment_id'에 매핑되었습니다.
  • 'winlog.provider_name'이 'metadata.product_name'에 매핑되었습니다.
  • 'winlog.record_id'가 'metadata.product_log_id'에 매핑되었습니다.
  • 'winlog.user.domain'이 'principal.administrative_domain'에 매핑되었습니다.
  • 'winlog.user.identifier'가 'principal.user.windows_sid'에 매핑되었습니다.
  • 'winlog.user.name'이 'principal.user.userid'에 매핑되었습니다.

2023-07-05

개선사항:

  • 'EventID = 403'의 경우 'HostApplication' 값이 없으면 'metadata.event_type'을 'STATUS_UPDATE'에 매핑했습니다.
  • '경로'가 비어 있을 때 Grok 패턴을 사용하여 로그에서 'target.file.full_path' 값을 추출했습니다.
  • '@timestamp'의 이름을 'EventTime'으로 변경하는 gsub 함수를 추가했습니다.

2022-11-09

개선사항:

  • 'ProviderGuid' 필드가 'metadata.product_deployment_id'에 매핑됩니다.
  • 'ExecutionProcessID' 필드가 'principal.process.pid'에 매핑됩니다.
  • 'ProcessID' 또는 'Process ID' 필드가 'principal.process.pid'에 매핑됩니다.
  • 'SourceModuleType' 필드가 'principal.resource.resource_subtype'에 매핑되었습니다.
  • 'SourceModuleName' 필드가 'principal.resource.name'에 매핑됩니다.
  • 'Machine' 필드가 'principal.asset.asset_id'에 매핑됩니다.
  • 'MessageSourceAddress' 필드가 'principal.ip'에 매핑됩니다.
  • 'File' 필드가 'target.process.file.full_path'에 매핑됩니다.
  • 'Host Application' 또는 'Command' 필드가 'target.process.command_line'에 매핑됩니다.
  • 'Output' 필드가 'security_result.detection_fields'에 매핑됩니다.
  • 'Message' 필드가 'security_result.description'에 매핑됩니다.
  • 'ActivityID' 필드가 'security_result.detection_fields'에 매핑됩니다.
  • EventID가 '4103'인 경우 다음 매핑이 추가되었습니다.
  • 'Host ID' 또는 'ContextInfo_Host ID' 필드가 'target.asset.asset_id'에 매핑됩니다.
  • 'Host Name' 또는 'ContextInfo_Host Name' 필드가 'target.hostname'에 매핑됩니다.
  • 'ContextInfo_Script Name' 필드가 'target.process.file.full_path'에 매핑되었습니다.
  • 'ContextInfo_Host Application' 필드가 'target.process.command_line'에 매핑됩니다.
  • 'ContextInfo_Command Name' 필드가 'security_result.detection_fields'에 매핑됩니다.
  • 'ContextInfo_Command Type' 필드가 'security_result.detection_fields'에 매핑되었습니다.
  • 'ContextInfo_Sequence Number' 또는 'Sequence Number' 필드가 'security_result.detection_fields'에 매핑됩니다.
  • EventID가 '800', '600' 또는 '400'인 경우 다음 매핑이 추가되었습니다.
  • 'UserId' 필드가 'principal.user.userid'에 매핑됩니다.
  • 'HostApplication' 필드가 'target.process.command_line'에 매핑됩니다.
  • 'HostId' 필드가 'target.asset.asset_id'에 매핑됩니다.
  • 'HostName' 필드가 'target.hostname'에 매핑됩니다.
  • 'ScriptName' 필드가 'target.process.file.full_path'에 매핑됩니다.
  • 'SequenceNumber' 필드가 'security_result.detection_fields'에 매핑됩니다.

2022-10-13

버그 수정:

  • 다음과 같이 변경하여 실패한 로그를 파싱했습니다.
  • 값이 없는 경우 파싱에 실패한 필드에 on_error 검사를 추가했습니다. 'opcode', 'Host Application'과 같은 필드
  • 로그에 'Message'가 없을 때 KV 파싱을 위한 새 소스인 'ContextInfo'를 추가했습니다.
  • 개선사항:
  • event_type이 GENERIC_EVENT에서 STATUS_UPDATE으로 수정되었습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받아 보세요.