# Cisco Umbrella 로그 ## 개요 Panther는 수집을 지원합니다 [Cisco Umbrella](https://docs.umbrella.com/) 로그를 일반적인 [데이터 전송](/ko/data-onboarding/data-transports.md) 옵션을 통해. ## Cisco Umbrella 로그를 Panther에 온보딩하는 방법 이 로그를 Panther에 연결하려면: 1. Panther Console의 왼쪽 탐색 모음에서 **구성하세요.** > **로그 소스**. 2. 을 클릭한 다음 **새로 만들기**. 3. “Cisco Umbrella”를 검색한 다음 해당 타일을 클릭합니다. 4. 다음 **전송 메커니즘** 드롭다운에서 이 통합에 사용하려는 Data Transport 방법을 선택합니다.\ ![An arrow is drawn from a tile labeled "Cisco Umbrella" to a "Transport Mechanism" field. To its right is a "Start Setup" button.](/files/e6e27cf53a40af51599486d40d74f0d67fff2252) 5. 을 클릭한 다음 **설정 시작**. 6. 선택한 [데이터 전송](/ko/data-onboarding/data-transports.md) 방법을 구성하기 위한 Panther의 지침을 따르십시오. 예: * [AWS S3](/ko/data-onboarding/data-transports/aws/s3.md) * [AWS SQS](/ko/data-onboarding/data-transports/aws/sqs.md) 7. Cisco Umbrella를 구성하여 로그를 Data Transport 소스로 푸시합니다. 다음을 참조하십시오. [Cisco Umbrella의 설명서](https://docs.umbrella.com/) 에서 선택한 Data Transport 소스로 로그를 푸시하는 방법을 확인하십시오. ## Panther에서 관리하는 탐지 규칙 참조하세요 [Panther에서 관리하는](https://docs.panther.com/detections/panther-managed) Cisco Umbrella에 대한 룰은 [panther-analysis GitHub 저장소에 있습니다](https://github.com/panther-labs/panther-analysis/tree/main/rules/cisco_umbrella_dns_rules). ## 지원되는 로그 유형 ### CiscoUmbrella.CloudFirewall Cloud Firewall 로그는 네트워크 터널에 의해 처리된 트래픽을 보여줍니다. 참조: [로그 형식 및 버전 관리에 대한 Cisco 설명서](https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-cloud-firewall-logs) ```yaml schema: CiscoUmbrella.CloudFirewall description: Cloud Firewall 로그는 네트워크 터널에 의해 처리된 트래픽을 보여줍니다. referenceURL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-cloud-firewall-logs fields: - name: timestamp required: true description: 요청 트랜잭션의 UTC 타임스탬프입니다(2015-01-16 17:48:41). type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S' isEventTime: true - name: originId description: 네트워크 터널의 고유 식별자입니다. type: string - 이름: identity description: 네트워크 터널의 이름입니다. type: string - name: identityType description: 요청을 생성한 ID 유형입니다. 항상 'CDFW Tunnel Device'여야 합니다. type: string - 이름: direction description: 패킷의 방향입니다. 인터넷을 향하거나 고객의 네트워크를 향합니다. type: string - name: ipProtocol description: 트래픽의 실제 IP 프로토콜입니다. TCP, UDP, ICMP일 수 있습니다. type: bigint - name: packetSize description: Umbrella CDFW가 수신한 패킷의 크기입니다. type: bigint - name: sourceIp description: CDFW를 향하는 사용자 생성 트래픽의 내부 IP 주소입니다. 트래픽이 CDFW에 도달하기 전에 NAT를 거치면 NAT IP 주소가 됩니다. type: string indicators: - ip - name: sourcePort description: CDFW를 향하는 사용자 생성 트래픽의 내부 포트 번호입니다. 유형: int - name: destinationIp description: CDFW를 향하는 사용자 생성 트래픽의 대상 IP 주소입니다. type: string indicators: - ip - name: destinationPort description: CDFW를 향하는 사용자 생성 트래픽의 대상 포트 번호입니다. 유형: int - name: dataCenter description: 사용자 생성 트래픽을 처리한 Umbrella Data Center의 이름입니다. type: string - name: ruleId description: 사용자 트래픽을 처리한 룰의 ID입니다. type: string - name: verdict description: 룰을 기반으로 트래픽을 허용할지 차단할지에 대한 최종 판정입니다. type: string ``` ### CiscoUmbrella.DNS DNS 로그는 DNS 리졸버에 도달한 트래픽을 보여줍니다. 참조: [DNS 로그에 대한 Cisco 설명서.](https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-dns-logs) ```yaml schema: CiscoUmbrella.DNS description: DNS 로그는 DNS 리졸버에 도달한 트래픽을 보여줍니다. referenceURL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-dns-logs fields: - name: timestamp required: true description: 이 요청이 UTC에서 수행된 시점입니다. 이는 시간을 지정한 시간대로 변환하는 Umbrella 대시보드와는 다릅니다. type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S' isEventTime: true - name: policyIdentity description: 세분성 순서대로 요청과 일치한 첫 번째 ID입니다. type: string - name: identities description: 이 요청과 연결된 모든 ID입니다. type: array element: type: string - name: internalIp description: 요청을 보낸 내부 IP 주소입니다. type: string indicators: - ip - name: externalIp description: 요청을 보낸 외부 IP 주소입니다. type: string indicators: - ip - 이름: 동작 description: 요청이 허용되었는지 차단되었는지 여부입니다. type: string - 이름: queryType description: 수행된 DNS 요청의 유형입니다. 자세한 내용은 Common DNS Request Types를 참조하십시오. type: string - name: responseCode description: 이 요청에 대한 DNS 반환 코드입니다. 자세한 내용은 모든 DNS 서비스(및 Umbrella)에 대한 Common DNS return codes를 참조하십시오. type: string - 이름: domain description: 요청된 도메인입니다. type: string indicators: - 도메인 - name: categories description: 대상과 일치하는 보안 또는 콘텐츠 카테고리입니다. type: array element: type: string - name: policyIdentityType description: 세분성 순서대로 이 요청과 일치한 첫 번째 ID 유형입니다. 버전 3 이상에서 사용 가능합니다. type: string - name: identityTypes description: 요청을 생성한 ID 유형입니다. 예: Roaming Computer, Network 등. 버전 3 이상에서 사용 가능합니다. type: array element: type: string - name: blockedCategories description: 대상이 차단되도록 만든 카테고리입니다. 버전 4 이상에서 사용 가능합니다. type: array element: type: string ``` ### CiscoUmbrella.IP IP 로그는 IP Layer Enforcement 기능에 의해 처리된 트래픽을 보여줍니다. 참조: [IP 로그에 대한 Cisco 설명서.](https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-ip-logs) ```yaml schema: CiscoUmbrella.IP description: IP 로그는 IP Layer Enforcement 기능에 의해 처리된 트래픽을 보여줍니다. referenceURL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-ip-logs fields: - name: timestamp required: true description: 요청 트랜잭션의 UTC 타임스탬프입니다(2015-01-16 17:48:41). type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S' isEventTime: true - 이름: identity description: 요청과 일치한 첫 번째 ID입니다. type: string - name: sourceIp description: 요청을 보내는 컴퓨터의 IP입니다. type: string indicators: - ip - name: sourcePort description: 요청이 이루어진 포트입니다. 유형: int - name: destinationIp description: 요청된 대상 IP입니다. type: string indicators: - ip - name: destinationPort description: 요청이 이루어진 대상 포트입니다. 유형: int - name: categories description: 요청된 대상 IP 주소/포트와 일치한 보안 카테고리(있다면)입니다. type: array element: type: string - name: identityTypes description: 요청을 생성한 ID 유형입니다. 예: Roaming Computer, Network 등. 버전 3 이상에서 사용 가능합니다. type: array element: type: string ``` ### CiscoUmbrella.Proxy Proxy 로그는 Umbrella Secure Web Gateway(SWG) 또는 Selective Proxy를 통과한 트래픽을 보여줍니다. 참조: [선택적 프록시 로그에 대한 Cisco 설명서.](https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-proxy-logs) ```yaml schema: CiscoUmbrella.Proxy description: Proxy 로그는 Umbrella Secure Web Gateway 또는 Selective Proxy를 통과한 트래픽을 보여줍니다. referenceURL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-proxy-logs fields: - name: timestamp description: 요청 트랜잭션의 UTC 타임스탬프입니다(2015-01-16 17:48:41). type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S' isEventTime: true - 이름: identity description: 요청과 일치한 첫 번째 ID입니다. type: string - name: identities description: 세분성 순서대로 어떤 ID가 지능형 프록시를 통해 요청을 보냈는지입니다. type: array element: type: string - name: internalIp description: 요청을 보내는 컴퓨터의 내부 IP 주소입니다. type: string indicators: - ip - name: externalIp description: 요청이 시작된 네트워크의 egress IP 주소입니다. type: string indicators: - ip - name: destinationIp description: 요청의 대상 IP 주소입니다. type: string indicators: - ip - name: contentType description: 웹 콘텐츠의 유형이며, 일반적으로 text/html입니다. type: string - name: verdict description: 대상이 차단되었는지 허용되었는지 여부입니다. type: string - 이름: url description: 요청된 URL입니다. type: string indicators: - url - name: referrer description: 참조 도메인 또는 URL입니다. type: string indicators: - url - hostname - 이름: userAgent description: 요청을 보낸 브라우저 에이전트입니다. type: string - name: statusCode description: HTTP 상태 코드입니다. 항상 200 또는 201이어야 합니다. 유형: int - 이름: requestSize description: 요청 크기(바이트)입니다. type: bigint - 이름: responseSize description: 응답 크기(바이트)입니다. type: bigint - name: responseBodySize description: 응답 본문 크기(바이트)입니다. type: bigint - name: sha description: 응답 콘텐츠의 SHA256 16진수 다이제스트입니다. type: string indicators: - sha256 - name: categories description: 이 요청에 대한 보안 카테고리입니다. 예: Malware. type: array element: type: string - name: avDetections description: 파일 검사에 사용된 바이러스 백신 엔진에 따른 디택션 이름입니다. type: array element: type: string - name: puas description: 바이러스 백신 스캐너가 반환한 프록시된 파일에 대한 모든 잠재적으로 원치 않는 애플리케이션(PUA) 결과 목록입니다. type: array element: type: string - name: ampDisposition description: Umbrella File Inspection 기능의 일부로 Cisco Advanced Malware Protection(AMP)에 의해 프록시되고 스캔된 파일의 상태입니다. Clean, Malicious 또는 Unknown일 수 있습니다. type: string - name: ampMalwareName description: Malicious인 경우, AMP에 따른 멀웨어 이름입니다. type: string - name: ampScore description: AMP의 멀웨어 점수입니다. 이 필드는 현재 사용되지 않으며 비어 있습니다. type: string - name: identityType description: 요청을 생성한 ID 유형입니다. 예: Roaming Computer, Network 등. type: string - name: blockedCategories description: 대상이 차단되도록 만든 카테고리입니다. 버전 4 이상에서 사용 가능합니다. type: array element: type: string ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/ciscoumbrella.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.