SentinelOne Deep Visibility 로그 수집

다음에서 지원:

이 문서에서는 로그를 Google Cloud Storage로 내보내기 위해 Cloud Funnel을 사용하여 SentinelOne Deep Visibility 로그를 Google Security Operations로 내보내는 방법을 설명합니다. 파서는 원시 JSON 형식의 보안 이벤트 로그를 UDM을 준수하는 구조화된 형식으로 변환합니다. 먼저 변수 집합을 초기화한 다음 이벤트 유형을 추출하고 JSON 페이로드를 파싱하여 관련 필드를 UDM 스키마에 매핑하는 동시에 Windows 이벤트 로그를 별도로 처리합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스
  • Google Cloud에 대한 액세스 권한 관리
  • 환경에 SentinelOne Deep Visibility 설정
  • SentinelOne에 대한 액세스 권한

Google Cloud Storage 버킷 만들기

  1. Google Cloud 콘솔에 로그인합니다.

  2. Cloud Storage 버킷 페이지로 이동합니다.

    버킷으로 이동

  3. 만들기를 클릭합니다.

  4. 버킷 만들기 페이지에서 버킷 정보를 입력합니다. 다음 각 단계를 완료한 후 계속을 클릭하여 다음 단계로 진행합니다.

    1. 시작하기 섹션에서 다음을 수행합니다.

      1. 버킷 이름 요구사항을 충족하는 고유한 이름을 입력합니다(예: sentinelone-deepvisibility).

      2. 계층적 네임스페이스를 사용 설정하려면 펼치기 화살표를 클릭하여 파일 지향 및 데이터 집약적인 워크로드에 최적화 섹션을 펼친 다음 이 버킷에서 계층적 네임스페이스 사용 설정을 선택합니다.

      3. 버킷 라벨을 추가하려면 펼치기 화살표를 클릭하여 라벨 섹션을 펼칩니다.

      4. 라벨 추가를 클릭하고 라벨의 키와 값을 지정합니다.

    2. 데이터 저장 위치 선택 섹션에서 다음을 수행합니다.

      1. 위치 유형을 선택합니다.

      2. 위치 유형 메뉴를 사용하여 버킷 내 객체 데이터가 영구적으로 저장될 위치를 선택합니다.

      3. 버킷 간 복제를 설정하려면 버킷 간 복제 설정 섹션을 펼칩니다.

    3. 데이터의 스토리지 클래스 선택 섹션에서 버킷에 기본 스토리지 클래스를 선택하거나, 버킷 데이터의 자동 스토리지 클래스 관리에 자동 클래스를 선택합니다.

    4. 객체 액세스를 제어하는 방식 선택 섹션에서 공개 액세스 방지를 적용하지 않음을 선택하고 버킷의 객체에 대한 액세스 제어 모델을 선택합니다.

    5. 객체 데이터 보호 방법 선택 섹션에서 다음을 수행합니다.

      1. 버킷에 설정할 데이터 보호 아래의 옵션을 선택합니다.
      2. 객체 데이터의 암호화 방법을 선택하려면 데이터 암호화라는 펼치기 화살표를 클릭하고 데이터 암호화 방법을 선택합니다.

  5. 만들기를 클릭합니다.

Google Cloud 서비스 계정 만들기

  1. IAM 및 관리자 > 서비스 계정으로 이동합니다.
  2. 새 서비스 계정 만들기
  3. 설명이 포함된 이름을 지정합니다(예: sentinelone-dv-logs).
  4. 이전 단계에서 만든 Cloud Storage 버킷에 스토리지 객체 생성자 역할이 있는 서비스 계정을 부여합니다.
  5. 서비스 계정의 SSH 키를 만듭니다.
  6. 서비스 계정의 JSON 키 파일을 다운로드합니다. 이 파일을 안전하게 보관하세요.

SentinelOne DeepVisibility에서 Cloud Funnel을 구성하는 방법

  1. SentinelOne DeepVisibility에 로그인합니다.
  2. 구성 > 정책 및 설정을 클릭합니다.
  3. Singularity Data Lake 섹션에서 Cloud Funnel을 클릭합니다.
  4. 다음 구성 세부정보를 제공합니다.
    • Cloud Provider: Google Cloud를 선택합니다.
    • 버킷 이름: SentinelOne DeepVisibility 로그 수집을 위해 만든 Cloud Storage 버킷의 이름을 입력합니다.
    • 원격 분석 스트리밍: 사용 설정을 선택합니다.
    • 쿼리 필터: Cloud Storage 버킷에 데이터를 전송해야 하는 에이전트가 포함된 쿼리를 만듭니다.
    • 검증을 클릭합니다.
    • 포함할 필드: 모든 필드를 선택합니다.
  5. 저장을 클릭합니다.

피드 설정

Google SecOps 플랫폼에서 피드를 설정하는 방법은 두 가지입니다.

  • SIEM 설정 > 피드 > 새 피드 추가
  • 콘텐츠 허브 > 콘텐츠 팩 > 시작하기

SentinelOne Deep Visibility 피드를 설정하는 방법

  1. SentinelOne 팩을 클릭합니다.
  2. SentinelOne Deep Visibility 로그 유형에서 다음 필드의 값을 지정합니다.
    • 소스 유형: Google Cloud Storage V2
    • 스토리지 버킷 URI: Google Cloud Storage 버킷 소스 URI입니다.
    • 소스 삭제 옵션: 전송 후 파일이나 디렉터리를 삭제할지 여부입니다. 소스 삭제 옵션에서 전송된 파일 삭제 옵션을 선택합니다.
    • 최대 파일 기간: 지난 일수 내에 수정된 파일을 포함합니다. 기본값은 180일입니다.
    • Chronicle 서비스 계정: 서비스 계정을 복사합니다. 이 서비스 계정에 버킷의 데이터를 읽거나 삭제할 수 있는 권한을 Google SecOps에 부여하려면 이 서비스 계정이 필요합니다.

고급 옵션

  • 피드 이름: 피드를 식별하는 미리 채워진 값입니다.
  • 애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
  • 수집 라벨: 이 피드의 모든 이벤트에 적용되는 라벨입니다.
  • 피드 만들기를 클릭합니다.

이 제품군 내에서 다양한 로그 유형에 대해 여러 피드를 구성하는 방법에 관한 자세한 내용은 제품별 피드 구성을 참고하세요.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
AdapterName security_result.about.resource.attribute.labels.value 이 값은 원시 로그의 'AdapterName' 필드에서 가져옵니다.
AdapterSuffixName security_result.about.resource.attribute.labels.value 값은 원시 로그의 'AdapterSuffixName' 필드에서 가져옵니다.
agent_version read_only_udm.metadata.product_version 이 값은 원시 로그의 'meta.agent_version' 필드에서 가져옵니다.
채널 security_result.about.resource.attribute.labels.value 이 값은 원시 로그의 '채널' 필드에서 가져옵니다.
commandLine read_only_udm.principal.process.command_line 이 값은 원시 로그의 'event.Event...commandLine' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이고 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
computer_name read_only_udm.principal.hostname 이 값은 원시 로그의 'meta.computer_name' 필드에서 가져옵니다.
destinationAddress.address read_only_udm.target.ip 값은 원시 로그의 'event.Event.Tcpv4.destinationAddress.address' 필드에서 가져옵니다.
destinationAddress.port read_only_udm.target.port 값은 원시 로그의 'event.Event.Tcpv4.destinationAddress.port' 필드에서 가져옵니다.
DnsServerList read_only_udm.principal.ip 값은 원시 로그의 'DnsServerList' 필드에서 가져옵니다.
ErrorCode_new security_result.detection_fields.value 이 값은 원시 로그의 'ErrorCode_new' 필드에서 가져옵니다.
EventID security_result.about.resource.attribute.labels.value 값은 원시 로그의 'EventID' 필드에서 가져옵니다.
event.Event.Dns.query read_only_udm.network.dns.questions.name 값은 원시 로그의 'event.Event.Dns.query' 필드에서 가져옵니다.
event.Event.Dns.results read_only_udm.network.dns.answers.data 값은 원시 로그의 'event.Event.Dns.results' 필드에서 가져옵니다.
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid 값은 원시 로그의 'event.Event.Dns.source.fullPid.pid' 필드에서 가져옵니다.
event.Event.Dns.source.user.name read_only_udm.principal.user.userid 값은 원시 로그의 'event.Event.Dns.source.user.name' 필드에서 가져옵니다.
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid 값은 원시 로그의 'event.Event.FileCreation.source.fullPid.pid' 필드에서 가져옵니다.
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid 값은 원시 로그의 'event.Event.FileCreation.source.user.name' 필드에서 가져옵니다.
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path 값은 원시 로그의 'event.Event.FileCreation.targetFile.path' 필드에서 가져옵니다.
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid 값은 원시 로그의 'event.Event.FileDeletion.source.fullPid.pid' 필드에서 가져옵니다.
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid 값은 원시 로그의 'event.Event.FileDeletion.source.user.name' 필드에서 가져옵니다.
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path 값은 원시 로그의 'event.Event.FileDeletion.targetFile.path' 필드에서 가져옵니다.
event.Event.FileModification.file.path read_only_udm.target.file.full_path 값은 원시 로그의 'event.Event.FileModification.file.path' 필드에서 가져옵니다.
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid 값은 원시 로그의 'event.Event.FileModification.source.user.name' 필드에서 가져옵니다.
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path 값은 원시 로그의 'event.Event.FileModification.targetFile.path' 필드에서 가져옵니다.
event.Event.Http.source.user.name read_only_udm.principal.user.userid 값은 원시 로그의 'event.Event.Http.source.user.name' 필드에서 가져옵니다.
event.Event.Http.url read_only_udm.target.url 값은 원시 로그의 'event.Event.Http.url' 필드에서 가져옵니다.
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid 값은 원시 로그의 'event.Event.ProcessCreation.process.user.name' 필드에서 가져옵니다.
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid 값은 원시 로그의 'event.Event.ProcessCreation.source.user.name' 필드에서 가져옵니다.
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid 값은 원시 로그의 'event.Event.ProcessExit.source.user.name' 필드에서 가져옵니다.
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid 값은 원시 로그의 'event.Event.ProcessTermination.source.user.name' 필드에서 가져옵니다.
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid 값은 원시 로그의 'event.Event.RegKeyCreate.source.fullPid.pid' 필드에서 가져옵니다.
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid 값은 원시 로그의 'event.Event.RegKeyCreate.source.user.name' 필드에서 가져옵니다.
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid 값은 원시 로그의 'event.Event.RegKeyDelete.source.user.name' 필드에서 가져옵니다.
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid 값은 원시 로그의 'event.Event.RegValueModified.source.user.name' 필드에서 가져옵니다.
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid 값은 원시 로그의 'event.Event.SchedTaskDelete.source.user.name' 필드에서 가져옵니다.
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid 값은 원시 로그의 'event.Event.SchedTaskRegister.source.user.name' 필드에서 가져옵니다.
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid 값은 원시 로그의 'event.Event.SchedTaskStart.source.user.name' 필드에서 가져옵니다.
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid 값은 원시 로그의 'event.Event.SchedTaskTrigger.source.fullPid.pid' 필드에서 가져옵니다.
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid 값은 원시 로그의 'event.Event.SchedTaskTrigger.source.user.name' 필드에서 가져옵니다.
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid 값은 원시 로그의 'event.Event.Tcpv4.source.fullPid.pid' 필드에서 가져옵니다.
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid 값은 원시 로그의 'event.Event.Tcpv4.source.user.name' 필드에서 가져옵니다.
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip 값은 원시 로그의 'event.Event.Tcpv4Listen.local.address' 필드에서 가져옵니다.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds 값은 원시 로그의 'event.timestamp.millisecondsSinceEpoch' 필드에서 가져와 초로 변환됩니다.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos 값은 원시 로그의 'event.timestamp.millisecondsSinceEpoch' 필드에서 가져와 나노초로 변환됩니다.
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value 이 값은 원시 로그의 'event.timestamp.millisecondsSinceEpoch' 필드에서 가져와 security_result.about.resource.attribute.labels 배열의 라벨 값으로 사용됩니다.
event_type read_only_udm.metadata.product_event_type 값은 grok 패턴을 사용하여 원시 로그의 'message' 필드에서 추출됩니다.
executable.hashes.md5 read_only_udm.principal.process.file.md5 이 값은 원시 로그의 'event.Event...executable.hashes.md5' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이고 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 이 값은 원시 로그의 'event.Event...executable.hashes.sha1' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이고 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 이 값은 원시 로그의 'event.Event...executable.hashes.sha256' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이고 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
executable.path read_only_udm.principal.process.file.full_path 이 값은 원시 로그의 'event.Event...executable.path' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이고 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
executable.sizeBytes read_only_udm.principal.process.file.size 이 값은 원시 로그의 'event.Event...executable.sizeBytes' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이고 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
fullPid.pid read_only_udm.principal.process.pid 이 값은 원시 로그의 'event.Event...fullPid.pid' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이고 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
hashes.md5 read_only_udm.target.file.md5 값은 원시 로그의 'event.Event.ProcessCreation.hashes.md5' 필드에서 가져옵니다.
hashes.sha1 read_only_udm.target.file.sha1 값은 원시 로그의 'event.Event.ProcessCreation.hashes.sha1' 필드에서 가져옵니다.
hashes.sha256 read_only_udm.target.file.sha256 값은 원시 로그의 'event.Event.ProcessCreation.hashes.sha256' 필드에서 가져옵니다.
IpAddress read_only_udm.target.ip 이 값은 원시 로그의 'IpAddress' 필드에서 가져옵니다.
local.address read_only_udm.principal.ip 값은 원시 로그의 'event.Event.Tcpv4Listen.local.address' 필드에서 가져옵니다.
local.port read_only_udm.principal.port 값은 원시 로그의 'event.Event.Tcpv4Listen.local.port' 필드에서 가져옵니다.
log_type read_only_udm.metadata.log_type 이 값은 원시 로그의 'log_type' 필드에서 가져옵니다.
meta.agent_version read_only_udm.metadata.product_version 이 값은 원시 로그의 'meta.agent_version' 필드에서 가져옵니다.
meta.computer_name read_only_udm.principal.hostname 이 값은 원시 로그의 'meta.computer_name' 필드에서 가져옵니다.
meta.os_family read_only_udm.principal.platform 이 값은 원시 로그의 'meta.os_family' 필드에서 가져와 해당 플랫폼에 매핑됩니다 (예: windows(Windows), osx(Mac), linux(Linux)
meta.os_name read_only_udm.principal.platform_version 값은 원시 로그의 'meta.os_name' 필드에서 가져옵니다.
meta.os_revision read_only_udm.principal.platform_patch_level 값은 원시 로그의 'meta.os_revision' 필드에서 가져옵니다.
meta.uuid read_only_udm.principal.asset_id 이 값은 원시 로그의 'meta.uuid' 필드에서 가져오며 SENTINELONE:이 앞에 추가됩니다.
name read_only_udm.principal.application 이 값은 원시 로그의 'event.Event...name' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이고 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 이 값은 원시 로그의 'event.Event..parent.executable.hashes.md5' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)을 사용합니다.
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 이 값은 원시 로그의 'event.Event..parent.executable.hashes.sha1' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)을 사용합니다.
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 이 값은 원시 로그의 'event.Event..parent.executable.hashes.sha256' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)을 사용합니다.
parent.executable.path read_only_udm.target.process.parent_process.file.full_path 이 값은 원시 로그의 'event.Event..parent.executable.path' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)을 사용합니다.
parent.fullPid.pid read_only_udm.target.process.parent_process.pid 이 값은 원시 로그의 'event.Event..parent.fullPid.pid' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)을 사용합니다.
경로 read_only_udm.principal.process.file.full_path 이 값은 원시 로그의 'event.Event...path' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이고 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
process.commandLine read_only_udm.target.process.command_line 값은 원시 로그의 'event.Event.ProcessCreation.process.commandLine' 필드에서 가져옵니다.
process.fullPid.pid read_only_udm.target.process.pid 값은 원시 로그의 'event.Event.ProcessCreation.process.fullPid.pid' 필드에서 가져옵니다.
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid 값은 원시 로그의 'event.Event.ProcessCreation.process.parent.fullPid.pid' 필드에서 가져옵니다.
ProviderGuid security_result.about.resource.attribute.labels.value 이 값은 원시 로그의 'ProviderGuid' 필드에서 가져오며 중괄호는 삭제됩니다.
query read_only_udm.network.dns.questions.name 값은 원시 로그의 'event.Event.Dns.query' 필드에서 가져옵니다.
RecordNumber security_result.about.resource.attribute.labels.value 값은 원시 로그의 'RecordNumber' 필드에서 가져옵니다.
regKey.path read_only_udm.target.registry.registry_key 값은 원시 로그의 'event.Event.RegKeyCreate.regKey.path' 또는 'event.Event.RegKeyDelete.regKey.path' 필드에서 가져옵니다.
regValue.path read_only_udm.target.registry.registry_key 값은 원시 로그의 'event.Event.RegValueDelete.regValue.path' 또는 'event.Event.RegValueModified.regValue.path' 필드에서 가져옵니다.
결과 read_only_udm.network.dns.answers.data 값은 원시 로그의 'event.Event.Dns.results' 필드에서 가져옵니다.
UpdateServer 전송됨 intermediary.hostname 이 값은 원시 로그의 'Sent UpdateServer' 필드에서 가져옵니다.
seq_id 이 필드는 UDM에 직접 매핑되지 않습니다.
signature.Status.Signed.identity 이 필드는 UDM에 직접 매핑되지 않습니다.
sizeBytes read_only_udm.principal.process.file.size 이 값은 원시 로그의 'event.Event...sizeBytes' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이고 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
sourceAddress.address read_only_udm.principal.ip 값은 원시 로그의 'event.Event.Tcpv4.sourceAddress.address' 필드에서 가져옵니다.
sourceAddress.port read_only_udm.principal.port 값은 원시 로그의 'event.Event.Tcpv4.sourceAddress.port' 필드에서 가져옵니다.
SourceName security_result.about.resource.attribute.labels.value 값은 원시 로그의 'SourceName' 필드에서 가져옵니다.
상태 이 필드는 UDM에 직접 매핑되지 않습니다.
taskName read_only_udm.target.resource.name 값은 원시 로그의 'event.Event.SchedTaskStart.taskName', 'event.Event.SchedTaskTrigger.taskName' 또는 'event.Event.SchedTaskDelete.taskName' 필드에서 가져옵니다.
targetFile.hashes.md5 read_only_udm.target.file.md5 값은 원시 로그의 'event.Event.FileDeletion.targetFile.hashes.md5' 또는 'event.Event.SchedTaskStart.targetFile.hashes.md5' 필드에서 가져옵니다.
targetFile.hashes.sha1 read_only_udm.target.file.sha1 값은 원시 로그의 'event.Event.FileDeletion.targetFile.hashes.sha1' 또는 'event.Event.SchedTaskStart.targetFile.hashes.sha1' 필드에서 가져옵니다.
targetFile.hashes.sha256 read_only_udm.target.file.sha256 값은 원시 로그의 'event.Event.FileDeletion.targetFile.hashes.sha256' 또는 'event.Event.SchedTaskStart.targetFile.hashes.sha256' 필드에서 가져옵니다.
targetFile.path read_only_udm.target.file.full_path 값은 원시 로그의 'event.Event.FileDeletion.targetFile.path' 또는 'event.Event.SchedTaskStart.targetFile.path' 필드에서 가져옵니다.
작업 security_result.about.resource.attribute.labels.value 값은 원시 로그의 'Task' 필드에서 가져옵니다.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds 값은 원시 로그의 'event.timestamp.millisecondsSinceEpoch' 필드에서 가져와 초로 변환됩니다.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos 값은 원시 로그의 'event.timestamp.millisecondsSinceEpoch' 필드에서 가져와 나노초로 변환됩니다.
trace_id 이 필드는 UDM에 직접 매핑되지 않습니다.
triggerType 이 필드는 UDM에 직접 매핑되지 않습니다.
trueContext 이 필드는 UDM에 직접 매핑되지 않습니다.
trueContext.key 이 필드는 UDM에 직접 매핑되지 않습니다.
trueContext.key.value 이 필드는 UDM에 직접 매핑되지 않습니다.
유형 read_only_udm.network.dns.answers.type 값은 원시 로그의 'event.Event.Dns.results' 필드에서 가져오고 정규 표현식을 사용하여 추출됩니다.
url read_only_udm.target.url 값은 원시 로그의 'event.Event.Http.url' 필드에서 가져옵니다.
user.name read_only_udm.principal.user.userid 이 값은 원시 로그의 'event.Event...user.name' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이고 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
user.sid read_only_udm.principal.user.windows_sid 이 값은 원시 로그의 'event.Event...user.sid' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이고 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
UserID read_only_udm.target.user.windows_sid 값이 Windows SID 패턴과 일치하는 경우에만 원시 로그의 'UserID' 필드에서 가져옵니다.
UserSid read_only_udm.target.user.windows_sid 이 값은 Windows SID 패턴과 일치하는 경우에만 원시 로그의 'UserSid' 필드에서 가져옵니다.
valueType 이 필드는 UDM에 직접 매핑되지 않습니다.
winEventLog.channel security_result.about.resource.attribute.labels.value 이 값은 원시 로그의 'winEventLog.channel' 필드에서 가져옵니다.
winEventLog.description 이 필드는 UDM에 직접 매핑되지 않습니다.
winEventLog.id security_result.about.resource.attribute.labels.value 값은 원시 로그의 'winEventLog.id' 필드에서 가져옵니다.
winEventLog.level security_result.severity 이 값은 원시 로그의 'winEventLog.level' 필드에서 가져와 해당 심각도 수준 (예: Warning~중간).
winEventLog.providerName security_result.about.resource.attribute.labels.value 이 값은 원시 로그의 'winEventLog.providerName' 필드에서 가져옵니다.
winEventLog.xml 이 필드는 UDM에 직접 매핑되지 않습니다.
read_only_udm.metadata.event_type 값은 'event_type' 필드를 기반으로 결정되며 해당 UDM 이벤트 유형에 매핑됩니다.
read_only_udm.metadata.vendor_name 값은 SentinelOne로 설정됩니다.
read_only_udm.metadata.product_name 값은 Deep Visibility로 설정됩니다.
read_only_udm.metadata.product_log_id 이 값은 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 원시 로그의 'trace.id' 필드에서 가져옵니다.
read_only_udm.metadata.product_deployment_id 이 값은 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 원시 로그의 'account.id' 필드에서 가져옵니다.
read_only_udm.metadata.url_back_to_product 이 값은 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 원시 로그의 'mgmt.url' 필드에서 가져옵니다.
read_only_udm.metadata.ingestion_labels.key 'meta.event.name'이 PROCESSCREATION인 이벤트의 경우 값은 Process eUserUid 또는 Process lUserUid로 설정됩니다.
read_only_udm.metadata.ingestion_labels.value 이 값은 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 원시 로그의 'src.process.eUserUid' 또는 'src.process.lUserUid' 필드에서 가져옵니다.
read_only_udm.principal.administrative_domain 원시 로그의 'event.Event...user.name' 필드의 도메인 부분입니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이고 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
read_only_udm.target.process.parent_process.command_line 이 값은 원시 로그의 'event.Event..parent.commandLine' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)을 사용합니다.
read_only_udm.target.file 'event_type'이 FileCreation, FileDeletion, FileModification, SchedTaskStart 또는 ProcessCreation이 아닌 경우 빈 객체가 생성됩니다.
read_only_udm.network.ip_protocol 'event_type'이 Tcpv4, Tcpv4Listen 또는 Http인 이벤트의 값은 TCP로 설정됩니다.
read_only_udm.network.application_protocol 'event_type'이 Dns인 이벤트의 경우 값이 DNS로 설정됩니다.
read_only_udm.target.resource.type 'event_type'이 SchedTaskStart, SchedTaskTrigger 또는 SchedTaskDelete인 이벤트의 값은 TASK로 설정됩니다.
read_only_udm.target.resource.resource_type 'event_type'이 SchedTaskStart, SchedTaskTrigger 또는 SchedTaskDelete인 이벤트의 값은 TASK로 설정됩니다.
read_only_udm.principal.process.product_specific_process_id 'ExecutionThreadID' 필드가 원시 로그에 있으면 값이 ExecutionThreadID:<ExecutionThreadID>로 설정됩니다.
read_only_udm.principal.asset.asset_id 'agent.uuid' 필드가 원시 로그에 있으면 값이 Device ID:<agent.uuid>로 설정됩니다.
read_only_udm.principal.namespace 이 값은 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 원시 로그의 'site.id' 필드에서 가져옵니다.
read_only_udm.principal.location.name 이 값은 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 원시 로그의 'site.name' 필드에서 가져옵니다.
read_only_udm.principal.resource.attribute.labels.key 'meta.event.name'이 PROCESSCREATION인 이벤트의 경우 값은 src.process.displayName, src.process.uid, isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, src process subsystem, src process integrityLevel 또는 childProcCount으로 설정됩니다.
read_only_udm.principal.resource.attribute.labels.value 이 값은 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 원시 로그의 해당 필드에서 가져옵니다.
read_only_udm.target.user.userid 이 값은 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 원시 로그의 'tgt.process.uid' 필드에서 가져옵니다.
read_only_udm.target.user.user_display_name 이 값은 원시 로그의 'tgt.process.displayName' 필드에서 가져오며, 'meta.event.name'이 PROCESSCREATION인 이벤트에만 적용됩니다.
read_only_udm.target.resource.attribute.labels.key 'meta.event.name'이 PROCESSCREATION인 이벤트의 값은 isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, file_isSigned, tgt process subsystem 또는 tgt process integrityLevel로 설정됩니다.
read_only_udm.target.resource.attribute.labels.value 이 값은 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 원시 로그의 해당 필드에서 가져옵니다.
read_only_udm.security_result.about.resource.attribute.labels.key 'meta.event.name'이 PROCESSCREATION인 이벤트의 경우 값은 tgt.process.storyline.id, endpoint_type, packet_id, src.process.storyline.id 또는 src.process.parent.storyline.id로 설정됩니다.
read_only_udm.security_result.about.resource.attribute.labels.value 이 값은 원시 로그의 해당 필드에서 가져오며, 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 스토리라인 ID에 ID:가 앞에 추가됩니다.
read_only_udm.security_result.category_details 'meta.event.name'이 PROCESSCREATION인 이벤트의 경우 값은 security로 설정됩니다.
read_only_udm.target.asset.product_object_id 이 값은 'meta.event.name'이 EVENTLOG인 이벤트에 대해서만 원시 로그의 'AdapterName' 필드에서 가져옵니다.
security_result.about.resource.attribute.labels.key 'meta.event.name'이 EVENTLOG인 이벤트의 경우 값은 TimeCreated SystemTime, EventID, Task, Channel, ProviderGuid, RecordNumber, SourceName, endpoint_type 또는 packet_id으로 설정됩니다.
security_result.detection_fields.key 'meta.event.name'이 EVENTLOG이고 비어 있지 않은 'ActivityID' 필드가 있는 이벤트의 경우 값은 Activity ID로 설정됩니다.
security_result.detection_fields.value 이 값은 'meta.event.name'이 EVENTLOG이고 'ActivityID' 필드가 비어 있지 않은 이벤트에 대해서만 원시 로그의 'ActivityID' 필드에서 가져옵니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.