BeyondTrust 원격 지원 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 파서는 BeyondTrust Remote Support의 syslog 메시지를 처리하여 UDM 형식으로 변환합니다. CEF 및 비 CEF 형식 로그를 모두 처리하여 필드를 추출하고, 데이터 변환을 실행하고, 주 구성원, 타겟, 보안 결과 세부정보를 비롯한 적절한 UDM 필드에 매핑합니다.
시작하기 전에
- Google Security Operations 인스턴스가 있는지 확인합니다.
- Windows 2016 이상 또는 systemd가 있는 Linux 호스트를 사용하고 있는지 확인합니다.
- 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
- Windows 설치의 경우 다음 스크립트를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet - Linux 설치의 경우 다음 스크립트를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh - 추가 설치 옵션은 이 설치 가이드를 참고하세요.
Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
- Bindplane이 설치된 머신에 액세스합니다.
다음과 같이
config.yaml파일을 수정합니다.receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: BeyondTrust_Remote_Support raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labelsBindplane 에이전트를 다시 시작하여 변경사항을 적용합니다.
sudo systemctl restart bindplane
BeyondTrust Remote Support에서 Syslog 내보내기 구성
- BeyondTrust 원격 지원에 로그인합니다.
- 보안 > 어플라이언스 관리로 이동합니다.
- Syslog 섹션으로 이동하여 다음 값을 설정합니다.
- 원격 Syslog 서버: syslog 호스트 서버 (Bindplane)의 호스트 이름 또는 IP 주소를 입력합니다. 이 필드에는 최대 3개의 syslog 서버를 추가할 수 있습니다.
- 메시지 형식: RFC 5424를 선택합니다.
- 포트: syslog 호스트 서버 (Bindplane)의 포트를 입력합니다.
- 제출을 클릭합니다.
UDM 매핑
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| account:expiration | read_only_udm.principal.user.attribute.labels.value | 값은 원시 로그의 'account:expiration' 필드에서 가져옵니다. |
| account:email:locale | read_only_udm.principal.user.attribute.labels.value | 값은 원시 로그의 'account:email:locale' 필드에서 가져옵니다. |
| command_shell_is_whitelist | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'ssions:command_shell_is_whitelist' 필드에서 가져옵니다. |
| datetime | read_only_udm.metadata.event_timestamp.seconds | 값은 원시 로그의 'datetime' 필드에서 파싱되고 Unix 타임스탬프로 변환됩니다. |
| dtPostTime | read_only_udm.metadata.event_timestamp.seconds | 값은 원시 로그의 'dtPostTime' 필드에서 파싱되고 Unix 타임스탬프로 변환됩니다. |
| 이벤트 | read_only_udm.metadata.product_event_type | 값은 원시 로그의 'event' 필드에서 가져옵니다. |
| 호스트 | read_only_udm.principal.hostname | 이 값은 원시 로그의 'host' 필드에서 가져옵니다. |
| id | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'id' 필드에서 가져옵니다. |
| license_pool:id | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'license_pool:id' 필드에서 가져옵니다. |
| login_schedule:timezone | read_only_udm.target.location.country_or_region | 값은 원시 로그의 'login_schedule:timezone' 필드에서 가져옵니다. |
| old_account:email:address | read_only_udm.target.user.email_addresses | 값은 원시 로그의 'old_account:email:address' 필드에서 가져옵니다. |
| old_account:failed_logins | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_account:failed_logins' 필드에서 가져옵니다. |
| old_display_number | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_display_number' 필드에서 가져옵니다. |
| old_login_schedule:timezone | read_only_udm.target.location.country_or_region | 이 값은 원시 로그의 'old_login_schedule:timezone' 필드에서 가져옵니다. |
| old_permissions:api:reporting | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:api:reporting' 필드에서 가져옵니다. |
| old_permissions:jump_item_role:default:id | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:jump_item_role:default:id' 필드에서 가져옵니다. |
| old_permissions:jump_item_role:default:name | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:jump_item_role:default:name' 필드에서 가져옵니다. |
| old_permissions:jump_item_role:teams:id | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:jump_item_role:teams:id' 필드에서 가져옵니다. |
| old_permissions:jump_item_role:teams:name | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:jump_item_role:teams:name' 필드에서 가져옵니다. |
| old_permissions:presentations:control:status | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:presentations:control:status' 필드에서 가져옵니다. |
| old_permissions:public_sites:templates:status | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:public_sites:templates:status' 필드에서 가져옵니다. |
| old_permissions:reporting:presentation_reports | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:reporting:presentation_reports' 필드에서 가져옵니다. |
| old_permissions:reporting:support_reports | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:reporting:support_reports' 필드에서 가져옵니다. |
| old_permissions:reporting:vault_reports | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:reporting:vault_reports' 필드에서 가져옵니다. |
| old_permissions:support | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support' 필드에서 가져옵니다. |
| old_permissions:support:accept_team_sessions:status | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:accept_team_sessions:status' 필드에서 가져옵니다. |
| old_permissions:support:bomgar_button:change_public_sites:status | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:bomgar_button:change_public_sites:status' 필드에서 가져옵니다. |
| old_permissions:support:bomgar_button:personal:deploy:status | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:bomgar_button:personal:deploy:status' 필드에서 가져옵니다. |
| old_permissions:support:bomgar_button:team:manage | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:bomgar_button:team:manage' 필드에서 가져옵니다. |
| old_permissions:support:bomgar_button:team:manage:status | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:bomgar_button:team:manage:status' 필드에서 가져옵니다. |
| old_permissions:support:ios_content | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:ios_content' 필드에서 가져옵니다. |
| old_permissions:support:jump:local | read_only_udm.principal.user.attribute.labels.value | 값은 원시 로그의 'old_permissions:support:jump:local' 필드에서 가져옵니다. |
| old_permissions:support:jump:local:status | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:jump:local:status' 필드에서 가져옵니다. |
| old_permissions:support:jump:remote | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:jump:remote' 필드에서 가져옵니다. |
| old_permissions:support:jump:remote:status | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:jump:remote:status' 필드에서 가져옵니다. |
| old_permissions:support:rdp:local | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:rdp:local' 필드에서 가져옵니다. |
| old_permissions:support:rdp:local:status | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:rdp:local:status' 필드에서 가져옵니다. |
| old_permissions:support:rdp:remote | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:rdp:remote' 필드에서 가져옵니다. |
| old_permissions:support:rdp:remote:status | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:rdp:remote:status' 필드에서 가져옵니다. |
| old_permissions:support:session_assignment:idle_timeout | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:session_assignment:idle_timeout' 필드에서 가져옵니다. |
| old_permissions:support:session_assignment:idle_timeout:status | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:session_assignment:idle_timeout:status' 필드에서 가져옵니다. |
| old_permissions:support:session_assignment:session_limit | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:session_assignment:session_limit' 필드에서 가져옵니다. |
| old_permissions:support:session_assignment:session_limit:status=forbid_override | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:session_assignment:session_limit:status=forbid_override' 필드에서 가져옵니다. |
| old_permissions:support:session_keys | read_only_udm.principal.user.attribute.labels.value | 값은 원시 로그의 'old_permissions:support:session_keys' 필드에서 가져옵니다. |
| old_permissions:support:status | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:status' 필드에서 가져옵니다. |
| old_permissions:support:team_share | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:team_share' 필드에서 가져옵니다. |
| old_permissions:support:team_transfer | read_only_udm.principal.user.attribute.labels.value | 값은 원시 로그의 'old_permissions:support:team_transfer' 필드에서 가져옵니다. |
| old_permissions:support:vnc:local | read_only_udm.principal.user.attribute.labels.value | 값은 원시 로그의 'old_permissions:support:vnc:local' 필드에서 가져옵니다. |
| old_permissions:support:vnc:local:status | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:vnc:local:status' 필드에서 가져옵니다. |
| old_permissions:support:vnc:remote | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:vnc:remote' 필드에서 가져옵니다. |
| old_permissions:support:vnc:remote:status | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_permissions:support:vnc:remote:status' 필드에서 가져옵니다. |
| old_private_display_name | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_private_display_name' 필드에서 가져옵니다. |
| old_provider:id | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'old_provider:id' 필드에서 가져옵니다. |
| old_provider:name | read_only_udm.principal.user.attribute.labels.value | 값은 원시 로그의 'old_provider:name' 필드에서 가져옵니다. |
| permissions:jump_item_role:default:id | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'permissions:jump_item_role:default:id' 필드에서 가져옵니다. |
| permissions:jump_item_role:default:name | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'permissions:jump_item_role:default:name' 필드에서 가져옵니다. |
| permissions:jump_item_role:teams:id | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'permissions:jump_item_role:teams:id' 필드에서 가져옵니다. |
| permissions:jump_item_role:teams:name | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'permissions:jump_item_role:teams:name' 필드에서 가져옵니다. |
| provider:id | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'provider:id' 필드에서 가져옵니다. |
| provider:name | read_only_udm.principal.user.attribute.labels.value | 값은 원시 로그의 'provider:name' 필드에서 가져옵니다. |
| reason | read_only_udm.security_result.description | 이 값은 원시 로그의 'reason' 필드에서 가져와 ' - Reason:'이라는 접두사와 함께 설명 필드에 추가됩니다. |
| sEventID | read_only_udm.metadata.product_event_type | 이 값은 원시 로그의 'sEventID' 필드에서 가져옵니다. |
| sIpAddress | read_only_udm.principal.ip | 이 값은 원시 로그의 'sIpAddress' 필드에서 가져옵니다. |
| sLoginName | read_only_udm.principal.user.userid | 이 값은 원시 로그의 'sLoginName' 필드에서 파싱됩니다. 필드에 도메인이 포함된 경우 도메인이 추출되어 read_only_udm.principal.namespace에 매핑됩니다. |
| sMessage | read_only_udm.security_result.description | 이 값은 원시 로그의 'sMessage' 필드에서 가져옵니다. 파서는 따옴표 안의 텍스트를 추출하여 설명 필드에 매핑합니다. |
| sOriginatingAccount | read_only_udm.principal.user.userid | 이 값은 원시 로그의 'sOriginatingAccount' 필드에서 파싱됩니다. 필드에 도메인이 포함된 경우 도메인이 추출되어 read_only_udm.principal.namespace에 매핑됩니다. |
| sOriginatingApplicationComponent | read_only_udm.principal.application | 이 값은 원시 로그의 'sOriginatingApplicationComponent' 필드에서 가져오며 sOriginatingApplicationName의 값 뒤에 괄호 안에 애플리케이션 필드에 추가됩니다. |
| sOriginatingApplicationName | read_only_udm.principal.application | 이 값은 원시 로그의 'sOriginatingApplicationName' 필드에서 가져옵니다. |
| sOriginatingSystem | read_only_udm.principal.hostname | 이 값은 원시 로그의 'sOriginatingSystem' 필드에서 가져옵니다. |
| session_policy:id | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'session_policy:id' 필드에서 가져옵니다. |
| session_policy:name | read_only_udm.principal.user.attribute.labels.value | 값은 원시 로그의 'session_policy:name' 필드에서 가져옵니다. |
| session_policy:purpose | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'session_policy:purpose' 필드에서 가져옵니다. |
| 사이트 | read_only_udm.target.hostname | 이 값은 원시 로그의 '사이트' 필드에서 가져옵니다. |
| 상태 | read_only_udm.security_result.summary | 이 값은 원시 로그의 'status' 필드에서 가져와 요약 필드에 추가됩니다. |
| support:jump:local | read_only_udm.principal.user.attribute.labels.value | 값은 원시 로그의 'support:jump:local' 필드에서 가져옵니다. |
| support:permissions:allow_pinned_clients | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:allow_pinned_clients' 필드에서 가져옵니다. |
| support:permissions:allow_users | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:allow_users' 필드에서 가져옵니다. |
| support:permissions:canned_scripts | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:canned_scripts' 필드에서 가져옵니다. |
| support:permissions:chat | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:chat' 필드에서 가져옵니다. |
| support:permissions:chat:push_url | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:chat:push_url' 필드에서 가져옵니다. |
| support:permissions:chat:send_file | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:chat:send_file' 필드에서 가져옵니다. |
| support:permissions:command_shell | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:command_shell' 필드에서 가져옵니다. |
| support:permissions:deploy_callback_button | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:deploy_callback_button' 필드에서 가져옵니다. |
| support:permissions:elevation | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:elevation' 필드에서 가져옵니다. |
| support:permissions:file_transfers:cust | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:file_transfers:cust' 필드에서 가져옵니다. |
| support:permissions:file_transfers:download | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:file_transfers:download' 필드에서 가져옵니다. |
| support:permissions:file_transfers:rep | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:file_transfers:rep' 필드에서 가져옵니다. |
| support:permissions:file_transfers:upload | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:file_transfers:upload' 필드에서 가져옵니다. |
| support:permissions:registry_access | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:registry_access' 필드에서 가져옵니다. |
| support:permissions:request_pin_unpin | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:request_pin_unpin' 필드에서 가져옵니다. |
| support:permissions:screen_sharing | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:screen_sharing' 필드에서 가져옵니다. |
| support:permissions:screen_sharing:allow_elevated_tools | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:screen_sharing:allow_elevated_tools' 필드에서 가져옵니다. |
| support:permissions:screen_sharing:annotations | read_only_udm.principal.user.attribute.labels.value | 값은 원시 로그의 'support:permissions:screen_sharing:annotations' 필드에서 가져옵니다. |
| support:permissions:screen_sharing:application_restriction | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:screen_sharing:application_restriction' 필드에서 가져옵니다. |
| support:permissions:screen_sharing:application_sharing | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:screen_sharing:application_sharing' 필드에서 가져옵니다. |
| support:permissions:screen_sharing:clipboard_direction | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:screen_sharing:clipboard_direction' 필드에서 가져옵니다. |
| support:permissions:screen_sharing:cobrowse | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:screen_sharing:cobrowse' 필드에서 가져옵니다. |
| support:permissions:screen_sharing:privacy_mode | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:screen_sharing:privacy_mode' 필드에서 가져옵니다. |
| support:permissions:screen_sharing:show_screen | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:screen_sharing:show_screen' 필드에서 가져옵니다. |
| support:permissions:system_info | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:permissions:system_info' 필드에서 가져옵니다. |
| support:permissions:system_info:actions | read_only_udm.principal.user.attribute.labels.value | 값은 원시 로그의 'support:permissions:system_info:actions' 필드에서 가져옵니다. |
| support:prompting:command_shell | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:prompting:command_shell' 필드에서 가져옵니다. |
| support:prompting:default | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:prompting:default' 필드에서 가져옵니다. |
| support:prompting:deploy_callback_button | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:prompting:deploy_callback_button' 필드에서 가져옵니다. |
| support:prompting:elevate | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:prompting:elevate' 필드에서 가져옵니다. |
| support:prompting:file_transfer | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:prompting:file_transfer' 필드에서 가져옵니다. |
| support:prompting:registry | read_only_udm.principal.user.attribute.labels.value | 값은 원시 로그의 'support:prompting:registry' 필드에서 가져옵니다. |
| support:prompting:screen_sharing:cobrowse | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:prompting:screen_sharing:cobrowse' 필드에서 가져옵니다. |
| support:prompting:screen_sharing:full_access | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'support:prompting:screen_sharing:full_access' 필드에서 가져옵니다. |
| target | read_only_udm.target.application | 이 값은 원시 로그의 'target' 필드에서 가져옵니다. 파서는 'rep_client'를 'Representative Console'로, 'web/login'을 'Web/Login'으로 대체합니다. |
| two_factor_auth:app | read_only_udm.principal.user.attribute.labels.value | 이 값은 원시 로그의 'two_factor_auth:app' 필드에서 가져옵니다. |
| when | read_only_udm.metadata.product_log_id | 이 값은 원시 로그의 'when' 필드에서 가져옵니다. |
| when | read_only_udm.metadata.event_timestamp.seconds | 값은 원시 로그의 'when' 필드에서 파싱되고 Unix 타임스탬프로 변환됩니다. |
| 누가 | read_only_udm.principal.user.userid | 이 값은 원시 로그의 'who' 필드에서 파싱됩니다. 파서는 괄호 안의 텍스트를 추출합니다. |
| 누가 | read_only_udm.principal.user.user_display_name | 이 값은 원시 로그의 'who' 필드에서 파싱됩니다. 파서는 괄호 앞의 텍스트를 추출합니다. |
| who_ip | read_only_udm.principal.ip | 이 값은 원시 로그의 'who_ip' 필드에서 가져옵니다. |
| read_only_udm.metadata.vendor_name | 파서에 의해 값이 'BeyondTrust'로 설정됩니다. | |
| read_only_udm.metadata.product_name | 파서에 의해 값이 'BeyondTrust Remote Support'로 설정됩니다. | |
| read_only_udm.metadata.log_type | 파서에 의해 값이 'BOMGAR'로 설정됩니다. | |
| read_only_udm.extensions.auth.type | 타겟이 'rep_client'인 경우 값은 'MACHINE'으로, 타겟이 'web/login'인 경우 'SSO'로, 그렇지 않은 경우 파서에 의해 'AUTHTYPE_UNSPECIFIED'로 설정됩니다. | |
| read_only_udm.extensions.auth.mechanism | 값이 'using password'인 경우 'USERNAME_PASSWORD'로, 값이 'using elevate'인 경우 'REMOTE'로 설정되고, 그 외의 경우에는 파서에 의해 비워집니다. | |
| read_only_udm.security_result.action | 상태가 'failure'가 아니고, 이유가 'failed' 또는 'user not found'가 아니며, sMessage에 'failed login to web app'이 포함되지 않은 경우 값은 'ALLOW'로 설정됩니다. 그렇지 않으면 파서에 의해 값이 'BLOCK'으로 설정됩니다. | |
| read_only_udm.security_result.summary | 값은 eventName을 기반으로 'User login' 또는 'User logout'으로 설정되며, 파서에 의해 비어 있지 않은 경우 상태가 뒤에 추가됩니다. | |
| read_only_udm.security_result.description | 값은 'User' 다음에 userid, IP 주소, 상태, eventName, 커넥터 ('to'는 로그인, 'from'은 로그아웃), 타겟, 메서드가 차례로 설정됩니다. 이유가 비어 있지 않고 'failed'가 아닌 경우 파서에 의해 ' - Reason:'이라는 접두사와 함께 설명에 추가됩니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.