# AWS CloudTrail ## 개요 Panther는 AWS S3 또는 CloudWatch Logs를 통해 Amazon Web Services(AWS) CloudTrail 로그 수집을 지원합니다. 추가 컨텍스트로 CloudTrail 로그를 풍부하게 하려면 [TrailDiscover](https://docs.panther.com/ko/enrichment/traildiscover) Enrichment Provider. ### AWS CloudTrail 로그 비디오 안내 {% embed url="" %} AWS CloudTrail 로그를 Panther에 온보딩하는 방법을 보여주는 안내 비디오 {% endembed %} ## AWS CloudTrail 로그를 Panther에 온보딩하는 방법 CloudTrail 로그를 Panther로 가져오려면, [데이터 전송](https://docs.panther.com/ko/data-onboarding/data-transports) S3 또는 CloudWatch Logs 중 하나를 사용하여 설정을 시작해야 합니다. 1. Panther 콘솔의 왼쪽 탐색 모음에서 클릭하세요 **구성** > **로그 소스**. 2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기**. 3. 사용 가능한 로그 소스 목록을 보려면 "AWS"를 검색하세요. 4. 선택하세요 **AWS CloudTrail**. 5. 을 클릭하세요 **AWS S3 버킷** 이전에 생성한 Snowflake 사용자 이름, 예를 들면 **이벤트는 CloudWatch Logs에서 왔습니다.** 전송 방법을 사용하여 설정을 시작하십시오. 다음을 따르십시오 [S3를 구성하기 위한 Panther의 문서 ](https://docs.panther.com/ko/data-onboarding/data-transports/aws/s3)이전에 생성한 Snowflake 사용자 이름, 예를 들면 [데이터 전송을 위해 CloudWatch Logs를 사용하는 방법](https://docs.panther.com/ko/data-onboarding/data-transports/aws/cloudwatch). ### AWS CloudTrail 로그 지연 시간 AWS에서 이벤트가 발생한 시점과 해당 이벤트가 CloudTrail로 전송되는 시점 사이의 지연 시간은 최대 15분이 될 수 있지만, 일반적으로 평균 3.5분에 데이터가 수신되는 것을 관찰합니다. 자세한 내용은 [CloudTrail 작동 방식에 대한 AWS의 문서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/how-cloudtrail-works.html). ## 다음의 경우 통합에 제한이 발생할 수 있습니다: Panther의 사전 작성된 AWS 룰은 [panther-analysis Github 리포지토리](https://github.com/panther-labs/panther-analysis/tree/master/rules). ## 데이터 익스플로러에서 로그 쿼리하기 Panther의 [panther\_monitor](https://docs.panther.com/ko/search/data-explorer)에서 사용하기 위한 예제 SQL 쿼리는 [cloudtrail-logs-queries](https://docs.panther.com/ko/search/data-explorer/example-queries/cloudtrail-logs-queries "mention"). ## 지원되는 로그 유형 Panther는 다음을 지원합니다 [AWS.CloudTrail](#aws.cloudtrail), [AWS.CloudTrailDigest](#aws.cloudtraildigest)및 [AWS.CloudTrailInsight](#aws.cloudtrailinsight). ### AWS.CloudTrail AWSCloudTrail은 CloudTrail S3 객체의 내용을 나타냅니다. 자세한 내용은 [CloudTrail 로그 이벤트에 대한 AWS의 문서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference.html). ```yaml 스키마: AWS.CloudTrail 설명: AWSCloudTrail은 CloudTrail S3 객체의 내용을 나타냅니다. 참조URL: https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference.html 필드: - 이름: additionalEventData 설명: 요청 또는 응답의 일부가 아니었던 이벤트에 대한 추가 데이터입니다. 유형: json - name: apiVersion 설명: AwsApiCall eventType 값과 관련된 API 버전을 식별합니다. type: string - name: awsRegion required: true 설명: 요청이 이루어진 AWS 리전(예: us-east-2)입니다. type: string - 이름: errorCode 설명: 요청이 오류를 반환하는 경우의 AWS 서비스 오류입니다. type: string - 이름: errorMessage 설명: 요청이 오류를 반환하는 경우 그 오류의 설명입니다. 이 메시지에는 권한 실패에 대한 메시지도 포함됩니다. CloudTrail은 서비스의 예외 처리에서 기록된 메시지를 캡처합니다. type: string - 이름: eventID required: true 설명: 각 이벤트를 고유하게 식별하기 위해 CloudTrail에서 생성한 GUID입니다. 단일 이벤트를 식별하는 데 이 값을 사용할 수 있습니다. 예를 들어, 검색 가능한 데이터베이스에서 로그 데이터를 검색하기 위한 기본 키로 이 ID를 사용할 수 있습니다. type: string - 이름: eventName required: true 설명: 요청된 작업으로, 해당 서비스의 API에 있는 작업 중 하나입니다. type: string - 이름: eventSource required: true 설명: 요청이 이루어진 서비스입니다. 이 이름은 일반적으로 공백 없이 서비스 이름의 축약형에 .amazonaws.com을 붙인 형태입니다. type: string - 이름: eventTime required: true 설명: 요청이 이루어진 날짜와 시간으로, 협정 세계시(UTC)입니다. type: timestamp timeFormats: - rfc3339 isEventTime: true - name: eventType required: true 설명: '이벤트 레코드를 생성한 이벤트 유형을 식별합니다. 다음 값 중 하나일 수 있습니다: AwsApiCall, AwsServiceEvent, AwsConsoleSignIn' type: string - 이름: eventVersion required: true 설명: 로그 이벤트 형식의 버전입니다. type: string - 이름: managementEvent 설명: '이 이벤트가 관리 이벤트인지 식별하는 부울 값입니다. eventVersion이 1.06 이상이고 이벤트 유형이 다음 중 하나인 경우 event record에 managementEvent가 표시됩니다: AwsApiCall, AwsConsoleAction, AwsConsoleSignIn, AwsServiceEvent' 유형: boolean - 이름: readOnly 설명: 이 작업이 읽기 전용 작업인지 식별합니다. 유형: boolean - 이름: recipientAccountId 설명: 이 이벤트를 수신한 계정 ID를 나타냅니다. recipientAccountID는 CloudTrail userIdentity 요소의 accountId와 다를 수 있습니다. 이는 교차 계정 리소스 액세스가 발생할 때 발생할 수 있습니다. type: string 지표: - aws_account_id - 이름: requestID 설명: 요청을 식별하는 값입니다. 이 값은 호출되는 서비스에서 생성합니다. type: string - 이름: requestParameters 설명: 요청과 함께 전송된 매개변수(있는 경우)입니다. 이러한 매개변수는 해당 AWS 서비스에 대한 API 참조 문서에 문서화되어 있습니다. 유형: json - name: resources 설명: 이벤트에서 액세스된 리소스 목록입니다. type: array element: type: object 필드: - name: arn 설명: 리소스의 ARN type: string 지표: - aws_arn - 이름: accountId 설명: 리소스 소유자의 계정 ID type: string 지표: - aws_account_id - 이름: type 설명: '형식의 리소스 유형 식별자: AWS::aws-service-name::data-type-name' type: string - 이름: responseElements 설명: 변경(생성, 업데이트 또는 삭제)을 수행하는 작업에 대한 응답 요소입니다. 작업이 상태를 변경하지 않는 경우(예: 객체를 가져오거나 나열하는 요청) 이 요소는 생략됩니다. 이러한 작업은 해당 AWS 서비스의 API 참조 문서에 문서화되어 있습니다. 유형: json - 이름: serviceEventDetails 설명: 이벤트를 트리거한 원인과 결과를 포함하여 서비스 이벤트를 식별합니다. 유형: json - 이름: sharedEventID 설명: 동일한 AWS 작업에서 발생하여 다른 AWS 계정으로 전송된 CloudTrail 이벤트를 고유하게 식별하기 위해 CloudTrail에서 생성한 GUID입니다. type: string - 이름: sourceIPAddress 설명: 요청이 이루어진 IP 주소입니다. 서비스 콘솔에서 시작된 작업의 경우 보고되는 주소는 콘솔 웹 서버가 아니라 기본 고객 리소스의 주소입니다. AWS 내 서비스의 경우 DNS 이름만 표시됩니다. type: string 지표: - hostname - 이름: userAgent 설명: 요청이 이루어진 에이전트로, 예: AWS Management Console, AWS 서비스, AWS SDK 또는 AWS CLI입니다. type: string - 이름: userIdentity required: true 설명: 요청을 수행한 사용자에 대한 정보입니다. type: object 필드: - 이름: type 설명: 신원 유형(Root, IAMUser, AssumedRole, Role, FederatedUser, Directory, AWSAccount, AWSService, IdentityCenterUser, Unknown, SAMLUser, WebIdentityUser) type: string - 이름: principalId 설명: 호출을 수행한 엔터티의 고유 식별자 type: string 지표: - actor_id - name: arn 설명: 호출을 수행한 주체의 ARN type: string 지표: - aws_arn - 이름: accountId 설명: 요청에 대한 권한을 부여한 엔터티를 소유한 계정 type: string 지표: - aws_account_id - name: accessKeyId 설명: 요청 서명에 사용된 액세스 키 ID type: string 지표: - trace_id - 이름: userName 설명: 호출을 수행한 신원의 친숙한 이름 type: string 지표: - username - 이름: sessionContext 설명: 요청이 임시 보안 자격 증명으로 이루어진 경우, 이 요소는 생성된 세션에 대한 정보를 제공합니다 type: object 필드: - name: attributes 설명: 세션에 대한 속성들 type: object 필드: - 이름: mfaAuthenticated 설명: 루트 사용자 또는 요청에 자신의 자격 증명을 사용한 IAM 사용자가 MFA 장치로 인증한 경우 값은 'true'이고, 그렇지 않으면 'false'입니다 type: string - 이름: creationDate 설명: 임시 보안 자격 증명이 발급된 날짜와 시간 type: timestamp timeFormats: - rfc3339 - 이름: sessionIssuer 설명: 세션을 발급한 엔터티에 대한 정보 type: object 필드: - 이름: type 설명: Root, IAMUser 또는 Role과 같이 임시 보안 자격 증명의 출처 type: string - 이름: principalId 설명: 자격 증명을 얻는 데 사용된 엔터티의 내부 ID type: string 지표: - actor_id - name: arn 설명: 임시 보안 자격 증명을 얻는 데 사용된 출처(계정, IAM 사용자 또는 역할)의 ARN type: string 지표: - aws_arn - 이름: accountId 설명: 자격 증명을 얻는 데 사용된 엔터티를 소유한 계정 type: string 지표: - aws_account_id - 이름: userName 설명: 세션을 발급한 사용자 또는 역할의 친숙한 이름입니다. 표시되는 값은 sessionIssuer 신원 유형에 따라 달라집니다 type: string 지표: - username - 이름: webIdFederationData 설명: 웹 신원 연동에 대한 정보 type: object 필드: - 이름: federatedProvider 설명: 신원 제공자의 주체 이름(예: Login with Amazon의 www.amazon.com 또는 Google의 accounts.google.com) type: string 지표: - aws_arn - name: attributes 설명: 제공자가 보고한 애플리케이션 ID 및 사용자 ID(예: Login with Amazon의 경우 www.amazon.com:app_id 및 www.amazon.com:user_id). 유형: json - 이름: ec2RoleDelivery 설명: 자격 증명이 Amazon EC2 인스턴스 메타데이터 서비스 버전 1(IMDSv1)에서 제공된 경우 값은 '1.0'입니다. 새 IMDS 체계를 사용하여 자격 증명이 제공된 경우 값은 '2.0'입니다 type: string - 이름: sourceIdentity 설명: sourceIdentity 필드는 사용자가 작업을 수행하기 위해 IAM 역할을 맡을 때 이벤트에 나타납니다. sourceIdentity는 해당 사용자의 신원이 IAM 사용자, IAM 역할, SAML 기반 연동을 통해 인증된 사용자 또는 OpenID Connect(OIDC) 호환 웹 신원 연동을 통해 인증된 사용자 중 어떤 것인지에 관계없이 요청을 수행한 원래 사용자 신원을 식별합니다 type: string - 이름: invokedBy 설명: 요청을 수행한 AWS 서비스의 이름(예: Amazon EC2 Auto Scaling 또는 AWS Elastic Beanstalk) type: string - 이름: identityProvider 설명: 외부 신원 제공자의 주체 이름입니다. SAMLUser 또는 WebIdentityUser 유형에만 존재합니다 type: string - 이름: onBehalfOf 설명: 요청이 대신 수행된 IAM Identity Center 사용자에 대한 정보 type: object 필드: - name: userId 설명: 호출이 대신 수행된 IAM Identity Center 사용자의 ID type: string - 이름: identityStoreArn 설명: 호출이 대신 수행된 IAM Identity Center 신원 저장소의 ARN type: string 지표: - aws_arn - 이름: inScopeOf 설명: 요청이 Lambda 또는 Amazon ECS와 같은 AWS 서비스의 범위 내에서 이루어진 경우, 요청과 관련된 리소스 또는 자격 증명에 대한 정보를 제공합니다 type: object 필드: - 이름: sourceArn 설명: 서비스 간 요청을 호출한 리소스의 ARN type: string 지표: - aws_arn - 이름: sourceAccount 설명: sourceArn의 소유자 계정 ID입니다. sourceArn과 함께 표시됩니다 type: string 지표: - aws_account_id - 이름: issuerType 설명: credentialsIssuedTo의 리소스 유형입니다. 예: AWS::Lambda::Function type: string - 이름: credentialsIssuedTo 설명: 자격 증명이 발급된 환경과 관련된 리소스입니다. type: string - 이름: credentialId 설명: 요청에 대한 자격 증명 ID입니다. 호출자가 IAM Identity Center 권한 부여 액세스 토큰과 같은 베어러 토큰을 사용하는 경우에만 설정됩니다 type: string - 이름: vpcEndpointId 설명: 요청이 VPC에서 Amazon S3와 같은 다른 AWS 서비스로 전달된 경우 해당 요청이 이루어진 VPC 엔드포인트를 식별합니다. type: string - 이름: eventCategory 설명: LookupEvents 호출에서 사용되는 이벤트 카테고리를 표시합니다. type: string - 이름: sessionCredentialFromConsole 설명: 이벤트가 AWS Management Console 세션에서 발생했는지 여부를 표시합니다. 값이 false인 경우 누락됩니다 유형: boolean - 이름: edgeDeviceDetails 설명: 요청의 대상인 엣지 장치에 대한 정보를 표시합니다. 유형: json - 이름: tlsDetails 설명: TLS(Transport Layer Security) 버전, 암호 제품군 및 서비스 API 호출의 클라이언트가 제공한 호스트 이름의 FQDN에 대한 정보를 표시합니다. type: object 필드: - 이름: tlsVersion 설명: 요청의 TLS 버전입니다. type: string - 이름: cipherSuite 설명: 요청의 암호 제품군(사용된 보안 알고리즘의 조합)입니다. type: string - 이름: clientProvidedHostHeader 설명: 요청을 수행한 클라이언트의 FQDN입니다. type: string - 이름: addendum 설명: 이벤트 전달이 지연되었거나 이벤트가 기록된 후 기존 이벤트에 대한 추가 정보가 제공된 경우, 이 필드는 이벤트가 지연된 이유 또는 누락된 정보에 대한 정보를 표시합니다. type: object 필드: - 이름: reason 설명: 이벤트 또는 해당 일부 내용이 누락된 이유입니다. 값은 DELIVERY_DELAY, UPDATED_DATA 또는 SERVICE_OUTAGE일 수 있습니다. type: string - 이름: updatedFields 설명: addendum에 의해 업데이트된 이벤트 레코드 필드입니다. 이유가 UPDATED_DATA인 경우에만 제공됩니다. type: string - 이름: originalRequestID 설명: 요청의 원래 고유 ID입니다. 이유가 UPDATED_DATA인 경우에만 제공됩니다. type: string - 이름: originalEventID 설명: 원래 이벤트 ID입니다. 이유가 UPDATED_DATA인 경우에만 제공됩니다. type: string ``` ### AWS.CloudTrailDigest AWSCloudTrailDigest에는 지난 시간 동안 Amazon S3 버킷으로 전달된 로그 파일의 이름, 해당 로그 파일의 해시 값 및 이전 다이제스트 파일의 서명이 포함됩니다. 자세한 내용은 [CloudTrail 다이제스트 파일 구조에 대한 AWS의 문서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-digest-file-structure.html). ```yaml 스키마: AWS.CloudTrailDigest 파서: 네이티브: 이름: AWS.CloudTrailDigest 설명: AWSCloudTrailDigest에는 지난 시간 동안 Amazon S3 버킷으로 전달된 로그 파일의 이름, 해당 로그 파일의 해시 값 및 이전 다이제스트 파일의 서명이 포함됩니다. 참조URL: https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-digest-file-structure.html 버전: 0 필드: - name: awsAccountId required: true 설명: 다이제스트 파일이 전달된 AWS 계정 ID입니다. type: string 지표: - aws_account_id - 이름: digestStartTime required: true 설명: 다이제스트 파일이 포괄하는 시작 UTC 시간 범위로, CloudTrail이 로그 파일을 전달한 시간을 기준으로 합니다. type: timestamp 시간 형식: rfc3339 - 이름: digestEndTime required: true 설명: 다이제스트 파일이 포괄하는 종료 UTC 시간 범위로, CloudTrail이 로그 파일을 전달한 시간을 기준으로 합니다. type: timestamp 시간 형식: rfc3339 isEventTime: true - 이름: digestS3Bucket required: true 설명: 현재 다이제스트 파일이 전달된 Amazon S3 버킷의 이름입니다. type: string - 이름: digestS3Object required: true 설명: 현재 다이제스트 파일의 Amazon S3 객체 키(즉, Amazon S3 버킷 위치)입니다. type: string - 이름: newestEventTime 설명: 다이제스트의 로그 파일들에 있는 모든 이벤트 중 가장 최근 이벤트의 UTC 시간입니다. type: timestamp 시간 형식: rfc3339 - 이름: oldestEventTime 설명: 다이제스트의 로그 파일들에 있는 모든 이벤트 중 가장 오래된 이벤트의 UTC 시간입니다. type: timestamp 시간 형식: rfc3339 - 이름: previousDigestS3Bucket 설명: 이전 다이제스트 파일이 전달된 Amazon S3 버킷입니다. type: string - 이름: previousDigestS3Object 설명: 이전 다이제스트 파일의 Amazon S3 객체 키(즉, Amazon S3 버킷 위치)입니다. type: string - 이름: previousDigestHashValue 설명: 이전 다이제스트 파일의 압축 해제된 내용의 16진수 인코딩 해시 값입니다. type: string 지표: - sha256 - 이름: previousDigestHashAlgorithm 설명: 이전 다이제스트 파일을 해시하는 데 사용된 해시 알고리즘의 이름입니다. type: string - 이름: previousDigestSignature 설명: 이전 다이제스트 파일의 16진수 인코딩 서명입니다. type: string - 이름: digestPublicKeyFingerprint required: true 설명: 이 다이제스트 파일에 서명하는 데 사용된 개인 키와 일치하는 공개 키의 16진수 인코딩 지문입니다. type: string - 이름: digestSignatureAlgorithm required: true 설명: 다이제스트 파일에 서명하는 데 사용된 알고리즘입니다. type: string - 이름: logFiles required: true 설명: 이 다이제스트에 전달된 로그 파일들 type: array element: type: object 필드: - 이름: s3Bucket required: true 설명: 로그 파일의 Amazon S3 버킷 이름입니다. type: string - 이름: s3Object required: true 설명: 현재 로그 파일의 Amazon S3 객체 키입니다. type: string - 이름: hashValue required: true 설명: 압축 해제된 로그 파일 내용의 16진수 인코딩 해시 값입니다. type: string 지표: - sha256 - 이름: hashAlgorithm required: true 설명: 로그 파일을 해시하는 데 사용된 해시 알고리즘입니다. type: string - 이름: newestEventTime required: true 설명: 로그 파일 이벤트들 중 가장 최근 이벤트의 UTC 시간입니다. type: timestamp 시간 형식: rfc3339 - 이름: oldestEventTime required: true 설명: 로그 파일 이벤트들 중 가장 오래된 이벤트의 UTC 시간입니다. type: timestamp 시간 형식: rfc3339 ``` ### AWS.CloudTrailInsight AWSCloudTrailInsight은 CloudTrail Insight 이벤트 레코드 S3 객체의 내용을 나타냅니다. 자세한 내용은 [CloudTrail 로그 이벤트에 대한 AWS의 문서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference.html). ```yaml 스키마: AWS.CloudTrailInsight 파서: 네이티브: 이름: AWS.CloudTrailInsight 설명: AWSCloudTrailInsight은 CloudTrail Insight 이벤트 레코드 S3 객체의 내용을 나타냅니다. 참조URL: https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference.html 버전: 0 필드: - 이름: eventVersion required: true 설명: 로그 이벤트 형식의 버전입니다. type: string - 이름: eventTime required: true 설명: 요청이 이루어진 날짜와 시간으로, 협정 세계시(UTC)입니다. type: timestamp 시간 형식: rfc3339 isEventTime: true - name: awsRegion required: true 설명: 요청이 이루어진 AWS 리전(예: us-east-2)입니다. type: string - 이름: eventId required: true 설명: 각 이벤트를 고유하게 식별하기 위해 CloudTrail에서 생성한 GUID입니다. 단일 이벤트를 식별하는 데 이 값을 사용할 수 있습니다. 예를 들어, 검색 가능한 데이터베이스에서 로그 데이터를 검색하기 위한 기본 키로 이 ID를 사용할 수 있습니다. type: string - name: eventType required: true 설명: '이벤트 레코드를 생성한 이벤트 유형을 식별합니다. 다음 값 중 하나일 수 있습니다: AwsApiCall, AwsServiceEvent, AwsConsoleSignIn' type: string - 이름: recipientAccountId 설명: 이 이벤트를 수신한 계정 ID를 나타냅니다. recipientAccountID는 CloudTrail userIdentity 요소의 accountId와 다를 수 있습니다. 이는 교차 계정 리소스 액세스가 발생할 때 발생할 수 있습니다. type: string 지표: - aws_account_id - 이름: sharedEventId required: true 설명: Insights 이벤트를 고유하게 식별하기 위해 CloudTrail Insights에서 생성한 GUID입니다. sharedEventID는 시작 및 종료 Insights 이벤트 사이에 공통입니다. type: string 지표: - trace_id - 이름: insightDetails required: true 설명: 이벤트 소스, 통계, API 이름 및 이벤트가 Insights 이벤트의 시작인지 종료인지와 같은 Insights 이벤트의 근본 트리거에 대한 정보를 표시합니다. type: object 필드: - 이름: state required: true 설명: 이벤트가 Insights의 시작 또는 종료(비정상 활동의 시작 또는 종료)를 나타내는지 여부를 표시합니다. 값은 Start 또는 End입니다. type: string - 이름: eventSource required: true 설명: 비정상 활동이 감지된 AWS API입니다. type: string - 이름: eventName required: true 설명: 비정상 활동이 감지된 AWS API입니다. type: string - 이름: insightType required: true 설명: Insights 이벤트 유형입니다. 값은 ApiCallRateInsight입니다. type: string - 이름: insightContext 설명: Insights 이벤트를 트리거한 호출 비율이 해당 API에 대한 정상 호출 비율(분당)과 비교하여 얼마나 되었는지에 대한 데이터입니다. type: object 필드: - 이름: statistics 설명: 계정의 해당 API에 대한 일반적인 평균 호출 비율, Insights 이벤트를 트리거한 호출 비율 및 분 단위의 Insights 이벤트 지속 시간에 대한 데이터를 포함하는 컨테이너입니다. type: object 필드: - 이름: baseline 설명: 특정 AWS 리전 내에서 계정의 해당 API에 대한 일반적인 평균 호출 비율을 표시합니다. type: object 필드: - 이름: average 설명: 인사이트 메트릭의 평균 값 type: float - 이름: insight 설명: Insights 이벤트의 로깅을 트리거하는 해당 API에 대한 비정상적인 호출 비율을 표시합니다. type: object 필드: - 이름: average 설명: 인사이트 메트릭의 평균 값 type: float - 이름: insightDuration 설명: Insights 이벤트의 지속 시간(해당 API에서 비정상 활동의 시작부터 종료까지의 기간)을 분 단위로 나타냅니다. insightDuration은 종료 Insights 이벤트에만 나타납니다. type: float - 이름: eventCategory required: true 설명: LookupEvents 호출에서 사용되는 이벤트 카테고리를 표시합니다. Insights 이벤트에서는 값이 insight입니다. type: string ```