# Cisco Umbrella 로그 ## 개요 Panther는 다음을 수집하는 것을 지원합니다 [Cisco Umbrella](https://docs.umbrella.com/) 로그를 공통 [데이터 전송](https://docs.panther.com/ko/data-onboarding/data-transports) 옵션을 통해. ## Cisco Umbrella 로그를 Panther에 온보딩하는 방법 이 로그를 Panther에 연결하려면: 1. Panther 콘솔의 왼쪽 탐색 창에서 **구성** > **로그 소스**. 2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기**. 3. “Cisco Umbrella”를 검색한 다음 해당 타일을 클릭하세요. 4. 일반 구성 **전송 메커니즘** 드롭다운에서 이 통합에 사용할 데이터 전송 방법을 선택하세요.\ ![An arrow is drawn from a tile labeled "Cisco Umbrella" to a "Transport Mechanism" field. To its right is a "Start Setup" button.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-dc715ebb172d6d7b30e94a1d0099061a733eb4ae%2FScreenshot%202024-09-13%20at%2011.00.42%20AM.png?alt=media) 5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정 시작**. 6. 선택한 [데이터 전송](https://docs.panther.com/ko/data-onboarding/data-transports) 방법을 구성하기 위한 Panther의 지침을 따르세요. 예를 들면: * [AWS S3](https://docs.panther.com/ko/data-onboarding/data-transports/aws/s3) * [AWS SQS](https://docs.panther.com/ko/data-onboarding/data-transports/aws/sqs) 7. Cisco Umbrella가 로그를 데이터 전송 소스로 푸시하도록 구성하세요. 참조: [Cisco Umbrella의 문서](https://docs.umbrella.com/) 선택한 데이터 전송 소스로 로그를 푸시하는 방법에 대한 지침은 해당 문서를 참조하세요. ## Panther 관리 디텍션 참조 [Panther 관리](https://docs.panther.com/detections/panther-managed) Cisco Umbrella용 룰은 [panther-analysis GitHub 리포지토리](https://github.com/panther-labs/panther-analysis/tree/main/rules/cisco_umbrella_dns_rules). ## 지원되는 로그 유형 ### CiscoUmbrella.CloudFirewall Cloud Firewall 로그는 네트워크 터널에 의해 처리된 트래픽을 보여줍니다. 참고: [로그 형식 및 버전 관리에 대한 Cisco 문서](https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-cloud-firewall-logs) ```yaml 스키마: CiscoUmbrella.CloudFirewall 설명: Cloud Firewall 로그는 네트워크 터널에 의해 처리된 트래픽을 보여줍니다. 참조URL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-cloud-firewall-logs 필드: - 이름: timestamp required: true 설명: 요청 트랜잭션의 타임스탬프(UTC, 예: 2015-01-16 17:48:41). type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S' isEventTime: true - 이름: originId 설명: 네트워크 터널의 고유 식별자. type: string - name: identity 설명: 네트워크 터널의 이름. type: string - 이름: identityType 설명: 요청을 한 정체성의 유형. 항상 'CDFW Tunnel Device'여야 합니다. type: string - 이름: direction 설명: 패킷의 방향. 인터넷 쪽이거나 고객 네트워크 쪽으로 향합니다. type: string - 이름: ipProtocol 설명: 트래픽의 실제 IP 프로토콜입니다. TCP, UDP, ICMP일 수 있습니다. type: bigint - 이름: packetSize 설명: Umbrella CDFW가 수신한 패킷의 크기. type: bigint - 이름: sourceIp 설명: CDFW로 향하는 사용자 생성 트래픽의 내부 IP 주소. 트래픽이 CDFW에 도달하기 전에 NAT를 통과한 경우 NAT IP 주소가 됩니다. type: string 지표: - ip - 이름: sourcePort 설명: CDFW로 향하는 사용자 생성 트래픽의 내부 포트 번호. 유형: int - 이름: destinationIp 설명: CDFW로 향하는 사용자 생성 트래픽의 목적지 IP 주소. type: string 지표: - ip - 이름: destinationPort 설명: CDFW로 향하는 사용자 생성 트래픽의 목적지 포트 번호. 유형: int - 이름: dataCenter 설명: 사용자 생성 트래픽을 처리한 Umbrella 데이터 센터의 이름. type: string - 이름: ruleId 설명: 사용자 트래픽을 처리한 룰의 ID. type: string - 이름: verdict 설명: 룰에 따라 트래픽을 허용할지 차단할지에 대한 최종 판정. type: string ``` ### CiscoUmbrella.DNS DNS 로그는 당사의 DNS 리졸버에 도달한 트래픽을 보여줍니다. 참고: [DNS 로그에 대한 Cisco 문서.](https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-dns-logs) ```yaml 스키마: CiscoUmbrella.DNS 설명: DNS 로그는 당사의 DNS 리졸버에 도달한 트래픽을 보여줍니다. 참조URL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-dns-logs 필드: - 이름: timestamp required: true 설명: 이 요청이 UTC로 언제 이루어졌는지. 이는 Umbrella 대시보드의 시간(지정한 시간대로 변환되는 시간)과 다릅니다. type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S' isEventTime: true - 이름: policyIdentity 설명: 정확도 순서로 요청과 일치한 첫 번째 정체성. type: string - 이름: identities 설명: 이 요청과 연관된 모든 정체성. type: array element: type: string - 이름: internalIp 설명: 요청을 한 내부 IP 주소. type: string 지표: - ip - 이름: externalIp 설명: 요청을 한 외부 IP 주소. type: string 지표: - ip - 이름: action 설명: 요청이 허용되었는지 차단되었는지 여부. type: string - 이름: queryType 설명: 수행된 DNS 요청의 유형. 자세한 내용은 일반적인 DNS 요청 유형을 참조하세요. type: string - 이름: responseCode 설명: 이 요청의 DNS 반환 코드. 자세한 내용은 모든 DNS 서비스(및 Umbrella)에 대한 일반적인 DNS 반환 코드를 참조하세요. type: string - name: domain 설명: 요청된 도메인. type: string 지표: - 도메인 - 이름: categories 설명: 목적지가 일치하는 보안 또는 콘텐츠 카테고리. type: array element: type: string - 이름: policyIdentityType 설명: 정확도 순서로 이 요청과 일치한 첫 번째 정체성 유형. 버전 3 이상에서 이용 가능. type: string - 이름: identityTypes 설명: 요청을 한 정체성의 유형(예: Roaming Computer, Network 등). 버전 3 이상에서 이용 가능. type: array element: type: string - 이름: blockedCategories 설명: 대상이 차단되게 한 카테고리. 버전 4 이상에서 이용 가능. type: array element: type: string ``` ### CiscoUmbrella.IP IP 로그는 IP 계층 시행 기능에 의해 처리된 트래픽을 보여줍니다. 참고: [IP 로그에 대한 Cisco 문서.](https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-ip-logs) ```yaml 스키마: CiscoUmbrella.IP 설명: IP 로그는 IP 계층 시행 기능에 의해 처리된 트래픽을 보여줍니다. 참조URL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-ip-logs 필드: - 이름: timestamp required: true 설명: 요청 트랜잭션의 타임스탬프(UTC, 예: 2015-01-16 17:48:41). type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S' isEventTime: true - name: identity 설명: 요청과 일치한 첫 번째 정체성. type: string - 이름: sourceIp 설명: 요청을 하는 컴퓨터의 IP. type: string 지표: - ip - 이름: sourcePort 설명: 요청이 이루어진 포트. 유형: int - 이름: destinationIp 설명: 요청된 목적지 IP. type: string 지표: - ip - 이름: destinationPort 설명: 요청이 이루어진 목적지 포트. 유형: int - 이름: categories 설명: 목적지 IP 주소/포트와 일치하는 보안 카테고리(있는 경우). type: array element: type: string - 이름: identityTypes 설명: 요청을 한 정체성의 유형(예: Roaming Computer, Network 등). 버전 3 이상에서 이용 가능. type: array element: type: string ``` ### CiscoUmbrella.Proxy 프록시 로그는 Umbrella Secure Web Gateway(SWG) 또는 선택적 프록시를 통과한 트래픽을 보여줍니다. 참고: [선택적 프록시 로그에 대한 Cisco 문서.](https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-proxy-logs) ```yaml 스키마: CiscoUmbrella.Proxy 설명: 프록시 로그는 Umbrella Secure Web Gateway 또는 선택적 프록시를 통과한 트래픽을 보여줍니다. 참조URL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-proxy-logs 필드: - 이름: timestamp 설명: 요청 트랜잭션의 타임스탬프(UTC, 예: 2015-01-16 17:48:41). type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S' isEventTime: true - name: identity 설명: 요청과 일치한 첫 번째 정체성. type: string - 이름: identities 설명: 지능형 프록시를 통해 요청을 한 정체성들(정확도 순). type: array element: type: string - 이름: internalIp 설명: 요청을 한 컴퓨터의 내부 IP 주소. type: string 지표: - ip - 이름: externalIp 설명: 요청이 시작된 네트워크의 외부(이그레스) IP 주소. type: string 지표: - ip - 이름: destinationIp 설명: 요청의 목적지 IP 주소. type: string 지표: - ip - 이름: contentType 설명: 웹 콘텐츠의 유형, 일반적으로 text/html. type: string - 이름: verdict 설명: 대상이 차단되었는지 허용되었는지 여부. type: string - name: url 설명: 요청된 URL. type: string 지표: - url - name: referrer 설명: 참조 도메인 또는 URL. type: string 지표: - url - hostname - 이름: userAgent 설명: 요청을 한 브라우저 에이전트. type: string - 이름: statusCode 설명: HTTP 상태 코드; 항상 200 또는 201이어야 합니다. 유형: int - 이름: requestSize 설명: 바이트 단위의 요청 크기. type: bigint - 이름: responseSize 설명: 바이트 단위의 응답 크기. type: bigint - 이름: responseBodySize 설명: 바이트 단위의 응답 본문 크기. type: bigint - 이름: sha 설명: 응답 콘텐츠의 SHA256 16진수 다이제스트. type: string 지표: - sha256 - 이름: categories 설명: 예: Malware와 같은 이 요청의 보안 카테고리. type: array element: type: string - 이름: avDetections 설명: 파일 검사에 사용된 안티바이러스 엔진에 따른 탐지 이름. type: array element: type: string - 이름: puas 설명: 안티바이러스 스캐너가 반환한 프록시된 파일에 대한 모든 잠재적 원치 않는 애플리케이션(PUA) 결과 목록. type: array element: type: string - 이름: ampDisposition 설명: Umbrella 파일 검사 기능의 일부로 Cisco Advanced Malware Protection(AMP)이 프록시 및 검사한 파일의 상태; Clean, Malicious 또는 Unknown일 수 있습니다. type: string - 이름: ampMalwareName 설명: Malicious인 경우 AMP에 따른 악성코드 이름. type: string - 이름: ampScore 설명: AMP의 악성코드 점수. 이 필드는 현재 사용되지 않으며 비어 있습니다. type: string - 이름: identityType 설명: 요청을 한 정체성의 유형. 예: Roaming Computer, Network 등. type: string - 이름: blockedCategories 설명: 대상이 차단되게 한 카테고리. 버전 4 이상에서 이용 가능. type: array element: type: string ```