# Atlassian 로그 ## 개요 Panther는 다음을 쿼리하여 Atlassian 이벤트 로그를 가져올 수 있습니다 [Atlassian Organizations REST API](https://developer.atlassian.com/cloud/admin/organization/rest/intro/). Panther는 특히 다음 Atlassian 이벤트를 모니터링합니다: * 설정 또는 기타 조직 페이지와 관련된 관리 작업 * 조직 관리자가 조직의 보안 정책과 관련하여 수행하는 작업 ## Atlassian 로그를 Panther에 온보딩하는 방법 Panther에서 Atlassian을 로그 소스로 설정하려면 Atlassian 계정에서 스코프 없는 API 키를 생성하여 Panther에 권한을 부여한 후 Panther에서 Atlassian을 로그 소스로 설정해야 합니다. ### 사전 요구 사항 * 귀하의 조직은 Atlassian Guard Standard, Cloud Enterprise 또는 Atlassian Guard Premium 요금제를 보유하고 있습니다. * Atlassian [감사 로그에는 어떤 활동이 포함되나요?](https://support.atlassian.com/security-and-access-policies/docs/accessing-audit-log-activities/) 문서에는 "Atlassian Guard Premium은 모든 앱에 대한 로그에 대한 전체 액세스를 제공합니다. Cloud Enterprise 및 Atlassian Cloud Premium 요금제는 해당 요금제를 보유한 앱에 대해 로그 액세스를 부여합니다."라고 명시되어 있습니다. * [여기에서 Atlassian Guard에 대해 자세히 알아보세요](https://support.atlassian.com/security-and-access-policies/docs/understand-atlassian-guard/). * 귀하의 Atlassian 사용자는 [조직 관리자 역할을 보유하고 있습니다](https://support.atlassian.com/user-management/docs/give-users-admin-permissions/#Make-someone-an-organization-admin). ### 1단계: Atlassian에서 API 키 생성 {% hint style="info" %} 반드시 [스코프 없는](https://support.atlassian.com/organization-administration/docs/manage-an-organization-with-the-admin-apis/) (스코프가 있는 것이 아님) API 키를 생성하십시오. Panther가 사용하는 [감사 로그 이벤트 폴링 API 엔드포인트](https://developer.atlassian.com/cloud/admin/organization/rest/api-group-events/#api-v1-orgs-orgid-events-stream-get) 는 스코프가 있는 API 키를 지원하지 않습니다. {% endhint %} 1. 다음의 조직에서 [admin.atlassian.com](http://admin.atlassian.com/)SNS 주제 **설정** > **API 키**. 2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **API 키 생성**. 3. 설명적인 API 키 이름을 입력하세요. * 기본적으로 키는 생성 후 일주일 후에 만료됩니다. 만료 날짜를 변경하려면 **만료일**에서 새 날짜를 선택하세요. 만료 날짜는 생성일로부터 최대 1년까지 연장할 수 있습니다. 4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **Python 함수를 입력한 다음** API 키를 저장하려면. 5. 다음 값들을 복사하세요 **조직 ID** 와 **생성한 API 키**. * 다음 단계인 2단계에서 조직에 액세스하려면 이러한 값들이 필요합니다. * Atlassian은 이러한 값을 다시 표시하지 않으므로 안전한 장소에 보관했는지 확인하세요. 6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **를 사용할 수 있습니다.**. 새 키가 API 키 목록에 나타납니다. ### 2단계: Panther에서 새 Atlassian 로그 소스 생성 1. Panther 콘솔의 왼쪽 탐색 모음에서 클릭하세요 **구성** > **로그 소스**. 2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기.** 3. 선택하세요 **Atlassian** 사용 가능한 로그 소스 목록에서. 클릭하세요 **소스 설정 시작**. 4. 다음 화면에서 예:와 같이 소스에 대한 설명 이름을 입력하세요 `내 Atlassian 이벤트 로그.` 5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **Panther 콘솔에서 필드에 값을 입력하세요:** 6. 페이지에서 **자격증명 설정** 페이지에서 양식을 작성하세요: * **조직**: 이 문서의 이전 단계에서 생성한 Atlassian 조직 ID를 입력하세요. * **API 키**: 이 문서의 이전 단계에서 생성한 Atlassian API 키를 입력하세요. 7. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정**. 성공 화면으로 이동됩니다:\\
The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"
* 성공 화면으로 이동됩니다: [선택적으로 하나 이상의](https://docs.panther.com/detections/panther-managed/packs). * 사용자를 사용할 것이며, **가 활성화될 수 있습니다** "이벤트가 처리되지 않을 때 알러트를 트리거" **설정의 기본값은**. 로그 소스에서 일정 기간 동안 데이터 흐름이 중단되면 알림을 받으므로 이 옵션을 활성화 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\\
The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day
## 지원되는 로그 유형 ### Atlassian.Audit 조직의 이벤트 감사 로그입니다. 참고: [감사 로그 및 이벤트에 대한 Atlassian 문서.](https://developer.atlassian.com/cloud/admin/organization/rest/api-group-orgs/#api-orgs-orgid-events-get) ```yaml 스키마: Atlassian.Audit 파서: 네이티브: 이름: Atlassian.Audit 설명: 조직의 이벤트 감사 로그입니다. 참조URL: https://developer.atlassian.com/cloud/admin/organization/rest/api-group-orgs/#api-orgs-orgid-events-get 필드: - 이름: type required: true 설명: 이벤트 객체의 타입 이름 type: string - 이름: id required: true 설명: 이벤트 객체의 고유 식별자 type: string - name: attributes required: true 설명: 이벤트 객체의 속성 type: object 필드: - 이름: time 설명: 이벤트의 날짜 및 시간 type: string 시간 형식: rfc3339 isEventTime: true - 이름: action 설명: 이벤트와 관련된 작업 유형. 전체 목록은 event-actions API로 확인할 수 있습니다 type: string - name: actor 설명: 이벤트와 관련된 행위자 type: object 필드: - 이름: id 설명: 이벤트 행위자의 고유 식별자 type: string - 이름: name 설명: 이벤트를 수행한 행위자의 이름 type: string 지표: - username - 이름: email 설명: 이벤트를 수행한 행위자의 이메일 type: string 지표: - 이메일 - name: links 설명: 이벤트를 수행한 행위자의 프로필 type: object 필드: - 이름: self 설명: 이벤트 셀프 링크 type: string - 이름: alt 설명: 이벤트 대체(alt) 링크 type: string - 이름: context 설명: 작업이 수행된 하나 이상의 엔티티 type: array element: type: object 필드: - 이름: id 설명: 이벤트 컨텍스트의 고유 식별자 type: string - 이름: type 설명: 이벤트 컨텍스트 유형 type: string - name: attributes 설명: 이벤트 컨텍스트 속성 유형: json - name: links 설명: 이벤트 컨텍스트의 self 또는 alt 링크 type: object 필드: - 이름: self 설명: 이벤트 셀프 링크 type: string - 이름: alt 설명: 이벤트 대체(alt) 링크 type: string 지표: - url - 이름: container 설명: 이벤트와 관련된 컨테이너 목록 type: array element: type: object 필드: - 이름: id 설명: 이벤트 컨테이너의 고유 식별자 type: string - 이름: type 설명: 이벤트 컨테이너 객체의 타입 이름 type: string - name: attributes 설명: 이벤트 컨테이너 객체의 속성 유형: json - name: links 설명: 이벤트 컨테이너 객체에 대한 링크 type: object 필드: - 이름: self 설명: 이벤트 셀프 링크 type: string - 이름: alt 설명: 이벤트 대체(alt) 링크 type: string - 이름: location 설명: 작업이 수행된 위치 type: object 필드: - 이름: ip 설명: 행위자 위치의 IP 주소 type: string 지표: - ip - 이름: geo 설명: IP 주소의 지리적 위치 type: string - 이름: countryName 설명: IP 주소에 따른 국가 위치 type: string - 이름: regionName 설명: IP 주소에 따른 지역 위치 type: string - 이름: city 설명: IP 주소에 따른 도시 위치 type: string - name: message 설명: 이벤트 객체와 관련된 메시지 type: object 필드: - 이름: content 설명: 이벤트와 관련된 메시지 내용 type: string - 이름: format 설명: 이벤트와 함께 제공되는 메시지 형식 type: string - 이름: relations 설명: 이벤트 객체와 관련된 관계 유형: json - name: links required: true 설명: 이 리소스를 가져오는 URL type: object 필드: - 이름: self 설명: 이벤트 셀프 링크 type: string - 이름: alt 설명: 이벤트 대체(alt) 링크 type: string ```