# Box 로그 ## 개요 Panther는 다음에서 감사지 이벤트를 가져올 수 있습니다 [Box 이벤트 API](https://developer.box.com/reference/get-events/) 실시간 디텍션을 위해 60초마다. Panther가 Box API에 액세스하려면 새 Box 앱을 생성하고 해당 자격 증명을 Panther에 제공해야 합니다. ## Box 로그를 Panther에 온보딩하는 방법 ### 사전 요구 사항 * 엔터프라이즈 전체 계정의 이벤트를 읽으려면 다음 단계를 수행하는 Box 사용자가 *해야 합니다* 가지고 [계정에 대한 전체 관리자 권한](https://support.box.com/hc/en-us/articles/360043694174-Understanding-Administrator-and-Co-Administrator-Permissions) (*Enterprise 조직* 공동 관리자). * 보안 및 가용성 이유로 Panther 전용으로 새 Box 앱을 생성할 것을 권장합니다. 이 페이지에서 **리디렉트 URL** 을(를) 복사했는지 확인하세요. ### 1단계: Panther에서 새 Box 소스 생성 1. Panther 콘솔의 왼쪽 탐색 창에서 **구성** > **로그 소스**. 2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기.** 3. “Box”를 검색한 다음 해당 타일을 클릭하세요. 4. 슬라이드 아웃 패널에서 클릭하세요 **설정 시작**. 5. 다음 화면에서 소스에 기억하기 쉬운 이름을 입력하세요 예: `내 Box 로그`. 6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정**. 7. 페이지에서 **자격 증명(Credentials)** 페이지에서 **복사** 1단계에서 리디렉트 URL을 복사하세요.\ ![On the Credentials page of the Box source setup flow, there are two steps: 1. Use the link below as the redirect URL in your App settings (there is a URL below), and 2. Fill in the credentials below (Client ID and Client Secret)](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-463982c5b75d3f6e9d7b35caf39c9be251c573e1%2Fimage.png?alt=media) 8. **참고:** Panther 콘솔에서 설정을 계속하기 전에 Box 개발자 콘솔에서 새 앱을 생성하고 클라이언트 ID와 클라이언트 시크릿을 가져와야 합니다. ### 2단계: Box 개발자 콘솔에서 새 Box 앱 생성 1. 별도의 브라우저 탭 또는 창에서 로그인하세요 [Box 개발자 콘솔](https://app.box.com/developers/console). 2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새 앱 생성.**\ ![In the Box Developer Console's left sidebar, "My Apps" is highlighted. On the right, there is a red square around the "Create New App" link.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-035eb2ed50a03f33dcbeb81b94a3f697a267eebe%2Fbox-new-app.png?alt=media) 3. 선택하세요 **커스텀 앱** 앱 유형으로 선택한 다음 클릭 **다음.** 4. 선택하세요 **사용자 인증(OAuth 2.0)**앱에 기억하기 쉬운 이름을 입력하세요(예: `Panther`), 그런 다음 클릭 **앱 생성.**\ ![In the Box Developer Console, a popup dialog labeled "Custom App" is on the screen. There is a red square around the option "User Authentication (OAuth 2.0)".](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-9d6a2b5eb1b6b49050dc1a18741099c307c9a24b%2Fbox-custom-app.png?alt=media) 5. 새 앱의 구성(Configuration) 탭에서 아래로 스크롤하여 **OAuth 2.0 리디렉트 URI** 섹션에 Panther 콘솔에서 복사한 리디렉트 URL을 붙여넣으세요.\ ![In the Box Developer Console, the Configuration tab is selected. There is a red square around the "OAuth 2 Redirect URI" section.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-0778a51d2d9038f849e7ae5c5ed477dfc647e55c%2Fbox-oauth-redirect.png?alt=media) 6. 페이지에서 **애플리케이션 범위** 섹션에서 다음이 선택되어 있는지 확인하세요 **엔터프라이즈 속성 관리** 선택되어 있습니다(기본적으로 **Enterprise 조직** 선택되어 있음).\ ![In the Box Developer Console's "Application Scopes" section, the possible scopes are displayed. There boxes are checked next to "Read all files and folders stored in Box," "Read and write all files and folders stored in Box," and "Manage enterprise properties."](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-39f606fe0055897da6ca599c1cc2138c932d811e%2Fbox-app-scopes.png?alt=media) 7. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **변경사항 저장(Save Changes)**. ### 3단계: Panther에서 Box 온보딩 완료 1. Box 개발자 콘솔에서 Panther를 위해 생성한 새 앱으로 이동하세요. 구성 탭에서 아래로 스크롤하여 **OAuth 2.0 자격 증명** 섹션의 명령을 실행하세요.\ ![On the "Configuration" page in the Box Developer Console, there is a red square around "OAuth 2 Credentials" and the fields "Client ID" and "Client Secret"](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-e7c0387a40bcae6dc167dde7ac0e2648d1158231%2Fbox-credentials.png?alt=media) 2. 다음 값을 복사하세요 **클라이언트 ID** 와 **클라이언트 시크릿** 자격 증명을 복사하여 Panther 콘솔의 **자격 증명(Credentials)** 페이지에 붙여넣으세요. 3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정**. 4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **액세스 허용**. * Box로 리디렉션됩니다. 5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **Box에 액세스 허용.** * Panther로 다시 리디렉션됩니다. 6. 3단계: 소스 설정 완료
The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"
* 성공 화면으로 이동됩니다: [선택적으로 하나 이상의](https://docs.panther.com/detections/panther-managed/packs). * 사용자를 사용할 것이며, **가 활성화될 수 있습니다** "이벤트가 처리되지 않을 때 알러트를 트리거" **설정의 기본값은**예
The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day
## Panther가 제공하는 디텍션 Panther의 내장된 [룰을 Box에서 확인하세요 ](https://github.com/panther-labs/panther-analysis/tree/master/rules/box_rules)[Github의 panther-analysis](https://github.com/panther-labs/panther-analysis/tree/master/rules/box_rules). ## 지원되는 로그 유형 ### Box.Event 엔터프라이즈 전체에 대한 이벤트를 포함합니다. 참고: [사용자 및 엔터프라이즈 이벤트 나열에 대한 Box 문서.](https://developer.box.com/reference/get-events/) ```yaml 스키마: Box.Event 파서: 네이티브: 이름: Box.Event 설명: 엔터프라이즈 전체에 대한 이벤트를 포함합니다 참고URL: https://developer.box.com/reference/get-events 필드: - 이름: additional_details 설명: 이 객체는 사용 가능한 경우 이벤트에 대한 추가 정보를 제공합니다. 유형: json - 이름: created_at 설명: 이벤트의 타임스탬프 type: timestamp 시간 형식: rfc3339 isEventTime: true - 이름: created_by 설명: 이벤트가 나타내는 작업을 수행한 사용자. type: object 필드: - 이름: id 설명: 이 객체의 고유 식별자 type: string - 이름: type 설명: 객체 유형 type: string - 이름: login 설명: 이 사용자의 기본 이메일 주소 type: string 지표: - 이메일 - 이름: name 설명: 이 사용자의 표시 이름 type: string - name: event_id required: true 설명: 이벤트 객체의 ID. 중복 이벤트를 탐지하는 데 사용할 수 있습니다 type: string - 이름: event_type required: true 설명: 이 이벤트를 트리거한 이벤트 유형 type: string - 이름: type required: true 설명: 객체 유형(항상 'event') type: string - name: source required: true 설명: 이 이벤트를 트리거한 항목 type: object 필드: - 이름: id 설명: 이 객체의 고유 식별자 type: string - 이름: type 설명: 객체 유형 type: string - 이름: login 설명: 이 사용자의 기본 이메일 주소 type: string 지표: - 이메일 - 이름: name 설명: 이 사용자의 표시 이름 type: string - 이름: item_id 설명: 항목을 나타내는 고유 식별자. type: string - 이름: item_name 설명: 항목의 이름. type: string - 이름: item_type 설명: 이벤트가 나타내는 항목의 유형. 파일 또는 폴더일 수 있습니다. type: string - 이름: owned_by 설명: 이 항목을 소유한 사용자. type: object 필드: - 이름: id 설명: 이 객체의 고유 식별자 type: string - 이름: type 설명: 객체 유형 type: string - 이름: login 설명: 이 사용자의 기본 이메일 주소 type: string 지표: - 이메일 - 이름: name 설명: 이 사용자의 표시 이름 type: string - 이름: parent 설명: 이 폴더가 위치한 선택적 상위 폴더. type: object 필드: - 이름: etag 설명: 이 폴더의 HTTP etag. type: string - 이름: id 설명: 폴더를 나타내는 고유 식별자. type: string - 이름: type required: true 설명: 객체의 유형(항상 'folder') type: string - 이름: name 설명: 폴더의 이름 type: string - 이름: sequence_id 설명: 이 항목에 적용된 최신 사용자 이벤트를 나타내는 숫자 식별자. type: string - 이름: api_key 설명: 이 작업에 사용된 API 키 type: string - 이름: session_id 설명: 이 이벤트를 트리거한 이벤트 유형 type: string - 이름: ip_address 설명: 요청이 발생한 IP 주소. type: string 지표: - ip ```