AWS CloudTrail 로그를 Panther 콘솔에 연결하기
마지막 업데이트
도움이 되었나요?
도움이 되었나요?
스키마: AWS.CloudTrail
설명: AWSCloudTrail은 CloudTrail S3 객체의 내용을 나타냅니다.
참조URL: https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference.html
필드:
- 이름: additionalEventData
설명: 요청 또는 응답의 일부가 아니었던 이벤트에 대한 추가 데이터입니다.
유형: json
- name: apiVersion
설명: AwsApiCall eventType 값과 관련된 API 버전을 식별합니다.
type: string
- name: awsRegion
required: true
설명: 요청이 이루어진 AWS 리전(예: us-east-2)입니다.
type: string
- 이름: errorCode
설명: 요청이 오류를 반환하는 경우의 AWS 서비스 오류입니다.
type: string
- 이름: errorMessage
설명: 요청이 오류를 반환하는 경우 그 오류의 설명입니다. 이 메시지에는 권한 실패에 대한 메시지도 포함됩니다. CloudTrail은 서비스의 예외 처리에서 기록된 메시지를 캡처합니다.
type: string
- 이름: eventID
required: true
설명: 각 이벤트를 고유하게 식별하기 위해 CloudTrail에서 생성한 GUID입니다. 단일 이벤트를 식별하는 데 이 값을 사용할 수 있습니다. 예를 들어, 검색 가능한 데이터베이스에서 로그 데이터를 검색하기 위한 기본 키로 이 ID를 사용할 수 있습니다.
type: string
- 이름: eventName
required: true
설명: 요청된 작업으로, 해당 서비스의 API에 있는 작업 중 하나입니다.
type: string
- 이름: eventSource
required: true
설명: 요청이 이루어진 서비스입니다. 이 이름은 일반적으로 공백 없이 서비스 이름의 축약형에 .amazonaws.com을 붙인 형태입니다.
type: string
- 이름: eventTime
required: true
설명: 요청이 이루어진 날짜와 시간으로, 협정 세계시(UTC)입니다.
type: timestamp
timeFormats:
- rfc3339
isEventTime: true
- name: eventType
required: true
설명: '이벤트 레코드를 생성한 이벤트 유형을 식별합니다. 다음 값 중 하나일 수 있습니다: AwsApiCall, AwsServiceEvent, AwsConsoleSignIn'
type: string
- 이름: eventVersion
required: true
설명: 로그 이벤트 형식의 버전입니다.
type: string
- 이름: managementEvent
설명: '이 이벤트가 관리 이벤트인지 식별하는 부울 값입니다. eventVersion이 1.06 이상이고 이벤트 유형이 다음 중 하나인 경우 event record에 managementEvent가 표시됩니다: AwsApiCall, AwsConsoleAction, AwsConsoleSignIn, AwsServiceEvent'
유형: boolean
- 이름: readOnly
설명: 이 작업이 읽기 전용 작업인지 식별합니다.
유형: boolean
- 이름: recipientAccountId
설명: 이 이벤트를 수신한 계정 ID를 나타냅니다. recipientAccountID는 CloudTrail userIdentity 요소의 accountId와 다를 수 있습니다. 이는 교차 계정 리소스 액세스가 발생할 때 발생할 수 있습니다.
type: string
지표:
- aws_account_id
- 이름: requestID
설명: 요청을 식별하는 값입니다. 이 값은 호출되는 서비스에서 생성합니다.
type: string
- 이름: requestParameters
설명: 요청과 함께 전송된 매개변수(있는 경우)입니다. 이러한 매개변수는 해당 AWS 서비스에 대한 API 참조 문서에 문서화되어 있습니다.
유형: json
- name: resources
설명: 이벤트에서 액세스된 리소스 목록입니다.
type: array
element:
type: object
필드:
- name: arn
설명: 리소스의 ARN
type: string
지표:
- aws_arn
- 이름: accountId
설명: 리소스 소유자의 계정 ID
type: string
지표:
- aws_account_id
- 이름: type
설명: '형식의 리소스 유형 식별자: AWS::aws-service-name::data-type-name'
type: string
- 이름: responseElements
설명: 변경(생성, 업데이트 또는 삭제)을 수행하는 작업에 대한 응답 요소입니다. 작업이 상태를 변경하지 않는 경우(예: 객체를 가져오거나 나열하는 요청) 이 요소는 생략됩니다. 이러한 작업은 해당 AWS 서비스의 API 참조 문서에 문서화되어 있습니다.
유형: json
- 이름: serviceEventDetails
설명: 이벤트를 트리거한 원인과 결과를 포함하여 서비스 이벤트를 식별합니다.
유형: json
- 이름: sharedEventID
설명: 동일한 AWS 작업에서 발생하여 다른 AWS 계정으로 전송된 CloudTrail 이벤트를 고유하게 식별하기 위해 CloudTrail에서 생성한 GUID입니다.
type: string
- 이름: sourceIPAddress
설명: 요청이 이루어진 IP 주소입니다. 서비스 콘솔에서 시작된 작업의 경우 보고되는 주소는 콘솔 웹 서버가 아니라 기본 고객 리소스의 주소입니다. AWS 내 서비스의 경우 DNS 이름만 표시됩니다.
type: string
지표:
- hostname
- 이름: userAgent
설명: 요청이 이루어진 에이전트로, 예: AWS Management Console, AWS 서비스, AWS SDK 또는 AWS CLI입니다.
type: string
- 이름: userIdentity
required: true
설명: 요청을 수행한 사용자에 대한 정보입니다.
type: object
필드:
- 이름: type
설명: 신원 유형(Root, IAMUser, AssumedRole, Role, FederatedUser, Directory, AWSAccount, AWSService, IdentityCenterUser, Unknown, SAMLUser, WebIdentityUser)
type: string
- 이름: principalId
설명: 호출을 수행한 엔터티의 고유 식별자
type: string
지표:
- actor_id
- name: arn
설명: 호출을 수행한 주체의 ARN
type: string
지표:
- aws_arn
- 이름: accountId
설명: 요청에 대한 권한을 부여한 엔터티를 소유한 계정
type: string
지표:
- aws_account_id
- name: accessKeyId
설명: 요청 서명에 사용된 액세스 키 ID
type: string
지표:
- trace_id
- 이름: userName
설명: 호출을 수행한 신원의 친숙한 이름
type: string
지표:
- username
- 이름: sessionContext
설명: 요청이 임시 보안 자격 증명으로 이루어진 경우, 이 요소는 생성된 세션에 대한 정보를 제공합니다
type: object
필드:
- name: attributes
설명: 세션에 대한 속성들
type: object
필드:
- 이름: mfaAuthenticated
설명: 루트 사용자 또는 요청에 자신의 자격 증명을 사용한 IAM 사용자가 MFA 장치로 인증한 경우 값은 'true'이고, 그렇지 않으면 'false'입니다
type: string
- 이름: creationDate
설명: 임시 보안 자격 증명이 발급된 날짜와 시간
type: timestamp
timeFormats:
- rfc3339
- 이름: sessionIssuer
설명: 세션을 발급한 엔터티에 대한 정보
type: object
필드:
- 이름: type
설명: Root, IAMUser 또는 Role과 같이 임시 보안 자격 증명의 출처
type: string
- 이름: principalId
설명: 자격 증명을 얻는 데 사용된 엔터티의 내부 ID
type: string
지표:
- actor_id
- name: arn
설명: 임시 보안 자격 증명을 얻는 데 사용된 출처(계정, IAM 사용자 또는 역할)의 ARN
type: string
지표:
- aws_arn
- 이름: accountId
설명: 자격 증명을 얻는 데 사용된 엔터티를 소유한 계정
type: string
지표:
- aws_account_id
- 이름: userName
설명: 세션을 발급한 사용자 또는 역할의 친숙한 이름입니다. 표시되는 값은 sessionIssuer 신원 유형에 따라 달라집니다
type: string
지표:
- username
- 이름: webIdFederationData
설명: 웹 신원 연동에 대한 정보
type: object
필드:
- 이름: federatedProvider
설명: 신원 제공자의 주체 이름(예: Login with Amazon의 www.amazon.com 또는 Google의 accounts.google.com)
type: string
지표:
- aws_arn
- name: attributes
설명: 제공자가 보고한 애플리케이션 ID 및 사용자 ID(예: Login with Amazon의 경우 www.amazon.com:app_id 및 www.amazon.com:user_id).
유형: json
- 이름: ec2RoleDelivery
설명: 자격 증명이 Amazon EC2 인스턴스 메타데이터 서비스 버전 1(IMDSv1)에서 제공된 경우 값은 '1.0'입니다. 새 IMDS 체계를 사용하여 자격 증명이 제공된 경우 값은 '2.0'입니다
type: string
- 이름: sourceIdentity
설명: sourceIdentity 필드는 사용자가 작업을 수행하기 위해 IAM 역할을 맡을 때 이벤트에 나타납니다. sourceIdentity는 해당 사용자의 신원이 IAM 사용자, IAM 역할, SAML 기반 연동을 통해 인증된 사용자 또는 OpenID Connect(OIDC) 호환 웹 신원 연동을 통해 인증된 사용자 중 어떤 것인지에 관계없이 요청을 수행한 원래 사용자 신원을 식별합니다
type: string
- 이름: invokedBy
설명: 요청을 수행한 AWS 서비스의 이름(예: Amazon EC2 Auto Scaling 또는 AWS Elastic Beanstalk)
type: string
- 이름: identityProvider
설명: 외부 신원 제공자의 주체 이름입니다. SAMLUser 또는 WebIdentityUser 유형에만 존재합니다
type: string
- 이름: onBehalfOf
설명: 요청이 대신 수행된 IAM Identity Center 사용자에 대한 정보
type: object
필드:
- name: userId
설명: 호출이 대신 수행된 IAM Identity Center 사용자의 ID
type: string
- 이름: identityStoreArn
설명: 호출이 대신 수행된 IAM Identity Center 신원 저장소의 ARN
type: string
지표:
- aws_arn
- 이름: inScopeOf
설명: 요청이 Lambda 또는 Amazon ECS와 같은 AWS 서비스의 범위 내에서 이루어진 경우, 요청과 관련된 리소스 또는 자격 증명에 대한 정보를 제공합니다
type: object
필드:
- 이름: sourceArn
설명: 서비스 간 요청을 호출한 리소스의 ARN
type: string
지표:
- aws_arn
- 이름: sourceAccount
설명: sourceArn의 소유자 계정 ID입니다. sourceArn과 함께 표시됩니다
type: string
지표:
- aws_account_id
- 이름: issuerType
설명: credentialsIssuedTo의 리소스 유형입니다. 예: AWS::Lambda::Function
type: string
- 이름: credentialsIssuedTo
설명: 자격 증명이 발급된 환경과 관련된 리소스입니다.
type: string
- 이름: credentialId
설명: 요청에 대한 자격 증명 ID입니다. 호출자가 IAM Identity Center 권한 부여 액세스 토큰과 같은 베어러 토큰을 사용하는 경우에만 설정됩니다
type: string
- 이름: vpcEndpointId
설명: 요청이 VPC에서 Amazon S3와 같은 다른 AWS 서비스로 전달된 경우 해당 요청이 이루어진 VPC 엔드포인트를 식별합니다.
type: string
- 이름: eventCategory
설명: LookupEvents 호출에서 사용되는 이벤트 카테고리를 표시합니다.
type: string
- 이름: sessionCredentialFromConsole
설명: 이벤트가 AWS Management Console 세션에서 발생했는지 여부를 표시합니다. 값이 false인 경우 누락됩니다
유형: boolean
- 이름: edgeDeviceDetails
설명: 요청의 대상인 엣지 장치에 대한 정보를 표시합니다.
유형: json
- 이름: tlsDetails
설명: TLS(Transport Layer Security) 버전, 암호 제품군 및 서비스 API 호출의 클라이언트가 제공한 호스트 이름의 FQDN에 대한 정보를 표시합니다.
type: object
필드:
- 이름: tlsVersion
설명: 요청의 TLS 버전입니다.
type: string
- 이름: cipherSuite
설명: 요청의 암호 제품군(사용된 보안 알고리즘의 조합)입니다.
type: string
- 이름: clientProvidedHostHeader
설명: 요청을 수행한 클라이언트의 FQDN입니다.
type: string
- 이름: addendum
설명: 이벤트 전달이 지연되었거나 이벤트가 기록된 후 기존 이벤트에 대한 추가 정보가 제공된 경우, 이 필드는 이벤트가 지연된 이유 또는 누락된 정보에 대한 정보를 표시합니다.
type: object
필드:
- 이름: reason
설명: 이벤트 또는 해당 일부 내용이 누락된 이유입니다. 값은 DELIVERY_DELAY, UPDATED_DATA 또는 SERVICE_OUTAGE일 수 있습니다.
type: string
- 이름: updatedFields
설명: addendum에 의해 업데이트된 이벤트 레코드 필드입니다. 이유가 UPDATED_DATA인 경우에만 제공됩니다.
type: string
- 이름: originalRequestID
설명: 요청의 원래 고유 ID입니다. 이유가 UPDATED_DATA인 경우에만 제공됩니다.
type: string
- 이름: originalEventID
설명: 원래 이벤트 ID입니다. 이유가 UPDATED_DATA인 경우에만 제공됩니다.
type: string스키마: AWS.CloudTrailDigest
파서:
네이티브:
이름: AWS.CloudTrailDigest
설명: AWSCloudTrailDigest에는 지난 시간 동안 Amazon S3 버킷으로 전달된 로그 파일의 이름, 해당 로그 파일의 해시 값 및 이전 다이제스트 파일의 서명이 포함됩니다.
참조URL: https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-digest-file-structure.html
버전: 0
필드:
- name: awsAccountId
required: true
설명: 다이제스트 파일이 전달된 AWS 계정 ID입니다.
type: string
지표:
- aws_account_id
- 이름: digestStartTime
required: true
설명: 다이제스트 파일이 포괄하는 시작 UTC 시간 범위로, CloudTrail이 로그 파일을 전달한 시간을 기준으로 합니다.
type: timestamp
시간 형식: rfc3339
- 이름: digestEndTime
required: true
설명: 다이제스트 파일이 포괄하는 종료 UTC 시간 범위로, CloudTrail이 로그 파일을 전달한 시간을 기준으로 합니다.
type: timestamp
시간 형식: rfc3339
isEventTime: true
- 이름: digestS3Bucket
required: true
설명: 현재 다이제스트 파일이 전달된 Amazon S3 버킷의 이름입니다.
type: string
- 이름: digestS3Object
required: true
설명: 현재 다이제스트 파일의 Amazon S3 객체 키(즉, Amazon S3 버킷 위치)입니다.
type: string
- 이름: newestEventTime
설명: 다이제스트의 로그 파일들에 있는 모든 이벤트 중 가장 최근 이벤트의 UTC 시간입니다.
type: timestamp
시간 형식: rfc3339
- 이름: oldestEventTime
설명: 다이제스트의 로그 파일들에 있는 모든 이벤트 중 가장 오래된 이벤트의 UTC 시간입니다.
type: timestamp
시간 형식: rfc3339
- 이름: previousDigestS3Bucket
설명: 이전 다이제스트 파일이 전달된 Amazon S3 버킷입니다.
type: string
- 이름: previousDigestS3Object
설명: 이전 다이제스트 파일의 Amazon S3 객체 키(즉, Amazon S3 버킷 위치)입니다.
type: string
- 이름: previousDigestHashValue
설명: 이전 다이제스트 파일의 압축 해제된 내용의 16진수 인코딩 해시 값입니다.
type: string
지표:
- sha256
- 이름: previousDigestHashAlgorithm
설명: 이전 다이제스트 파일을 해시하는 데 사용된 해시 알고리즘의 이름입니다.
type: string
- 이름: previousDigestSignature
설명: 이전 다이제스트 파일의 16진수 인코딩 서명입니다.
type: string
- 이름: digestPublicKeyFingerprint
required: true
설명: 이 다이제스트 파일에 서명하는 데 사용된 개인 키와 일치하는 공개 키의 16진수 인코딩 지문입니다.
type: string
- 이름: digestSignatureAlgorithm
required: true
설명: 다이제스트 파일에 서명하는 데 사용된 알고리즘입니다.
type: string
- 이름: logFiles
required: true
설명: 이 다이제스트에 전달된 로그 파일들
type: array
element:
type: object
필드:
- 이름: s3Bucket
required: true
설명: 로그 파일의 Amazon S3 버킷 이름입니다.
type: string
- 이름: s3Object
required: true
설명: 현재 로그 파일의 Amazon S3 객체 키입니다.
type: string
- 이름: hashValue
required: true
설명: 압축 해제된 로그 파일 내용의 16진수 인코딩 해시 값입니다.
type: string
지표:
- sha256
- 이름: hashAlgorithm
required: true
설명: 로그 파일을 해시하는 데 사용된 해시 알고리즘입니다.
type: string
- 이름: newestEventTime
required: true
설명: 로그 파일 이벤트들 중 가장 최근 이벤트의 UTC 시간입니다.
type: timestamp
시간 형식: rfc3339
- 이름: oldestEventTime
required: true
설명: 로그 파일 이벤트들 중 가장 오래된 이벤트의 UTC 시간입니다.
type: timestamp
시간 형식: rfc3339스키마: AWS.CloudTrailInsight
파서:
네이티브:
이름: AWS.CloudTrailInsight
설명: AWSCloudTrailInsight은 CloudTrail Insight 이벤트 레코드 S3 객체의 내용을 나타냅니다.
참조URL: https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference.html
버전: 0
필드:
- 이름: eventVersion
required: true
설명: 로그 이벤트 형식의 버전입니다.
type: string
- 이름: eventTime
required: true
설명: 요청이 이루어진 날짜와 시간으로, 협정 세계시(UTC)입니다.
type: timestamp
시간 형식: rfc3339
isEventTime: true
- name: awsRegion
required: true
설명: 요청이 이루어진 AWS 리전(예: us-east-2)입니다.
type: string
- 이름: eventId
required: true
설명: 각 이벤트를 고유하게 식별하기 위해 CloudTrail에서 생성한 GUID입니다. 단일 이벤트를 식별하는 데 이 값을 사용할 수 있습니다. 예를 들어, 검색 가능한 데이터베이스에서 로그 데이터를 검색하기 위한 기본 키로 이 ID를 사용할 수 있습니다.
type: string
- name: eventType
required: true
설명: '이벤트 레코드를 생성한 이벤트 유형을 식별합니다. 다음 값 중 하나일 수 있습니다: AwsApiCall, AwsServiceEvent, AwsConsoleSignIn'
type: string
- 이름: recipientAccountId
설명: 이 이벤트를 수신한 계정 ID를 나타냅니다. recipientAccountID는 CloudTrail userIdentity 요소의 accountId와 다를 수 있습니다. 이는 교차 계정 리소스 액세스가 발생할 때 발생할 수 있습니다.
type: string
지표:
- aws_account_id
- 이름: sharedEventId
required: true
설명: Insights 이벤트를 고유하게 식별하기 위해 CloudTrail Insights에서 생성한 GUID입니다. sharedEventID는 시작 및 종료 Insights 이벤트 사이에 공통입니다.
type: string
지표:
- trace_id
- 이름: insightDetails
required: true
설명: 이벤트 소스, 통계, API 이름 및 이벤트가 Insights 이벤트의 시작인지 종료인지와 같은 Insights 이벤트의 근본 트리거에 대한 정보를 표시합니다.
type: object
필드:
- 이름: state
required: true
설명: 이벤트가 Insights의 시작 또는 종료(비정상 활동의 시작 또는 종료)를 나타내는지 여부를 표시합니다. 값은 Start 또는 End입니다.
type: string
- 이름: eventSource
required: true
설명: 비정상 활동이 감지된 AWS API입니다.
type: string
- 이름: eventName
required: true
설명: 비정상 활동이 감지된 AWS API입니다.
type: string
- 이름: insightType
required: true
설명: Insights 이벤트 유형입니다. 값은 ApiCallRateInsight입니다.
type: string
- 이름: insightContext
설명: Insights 이벤트를 트리거한 호출 비율이 해당 API에 대한 정상 호출 비율(분당)과 비교하여 얼마나 되었는지에 대한 데이터입니다.
type: object
필드:
- 이름: statistics
설명: 계정의 해당 API에 대한 일반적인 평균 호출 비율, Insights 이벤트를 트리거한 호출 비율 및 분 단위의 Insights 이벤트 지속 시간에 대한 데이터를 포함하는 컨테이너입니다.
type: object
필드:
- 이름: baseline
설명: 특정 AWS 리전 내에서 계정의 해당 API에 대한 일반적인 평균 호출 비율을 표시합니다.
type: object
필드:
- 이름: average
설명: 인사이트 메트릭의 평균 값
type: float
- 이름: insight
설명: Insights 이벤트의 로깅을 트리거하는 해당 API에 대한 비정상적인 호출 비율을 표시합니다.
type: object
필드:
- 이름: average
설명: 인사이트 메트릭의 평균 값
type: float
- 이름: insightDuration
설명: Insights 이벤트의 지속 시간(해당 API에서 비정상 활동의 시작부터 종료까지의 기간)을 분 단위로 나타냅니다. insightDuration은 종료 Insights 이벤트에만 나타납니다.
type: float
- 이름: eventCategory
required: true
설명: LookupEvents 호출에서 사용되는 이벤트 카테고리를 표시합니다. Insights 이벤트에서는 값이 insight입니다.
type: string