Cisco Umbrella 로그

Cisco Umbrella 로그를 Panther 콘솔에 연결하기

개요

Panther는 다음을 수집하는 것을 지원합니다 Cisco Umbrella 로그를 공통 데이터 전송 옵션을 통해.

Cisco Umbrella 로그를 Panther에 온보딩하는 방법

이 로그를 Panther에 연결하려면:

Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.
“Cisco Umbrella”를 검색한 다음 해당 타일을 클릭하세요.
일반 구성 전송 메커니즘 드롭다운에서 이 통합에 사용할 데이터 전송 방법을 선택하세요.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정 시작.
선택한 데이터 전송 방법을 구성하기 위한 Panther의 지침을 따르세요. 예를 들면:
- AWS S3
- AWS SQS
Cisco Umbrella가 로그를 데이터 전송 소스로 푸시하도록 구성하세요. 참조: Cisco Umbrella의 문서 선택한 데이터 전송 소스로 로그를 푸시하는 방법에 대한 지침은 해당 문서를 참조하세요.

Panther 관리 디텍션

참조 Panther 관리 Cisco Umbrella용 룰은 panther-analysis GitHub 리포지토리.

지원되는 로그 유형

CiscoUmbrella.CloudFirewall

Cloud Firewall 로그는 네트워크 터널에 의해 처리된 트래픽을 보여줍니다.

참고: 로그 형식 및 버전 관리에 대한 Cisco 문서

스키마: CiscoUmbrella.CloudFirewall
설명: Cloud Firewall 로그는 네트워크 터널에 의해 처리된 트래픽을 보여줍니다.
참조URL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-cloud-firewall-logs
필드:
    - 이름: timestamp
      required: true
      설명: 요청 트랜잭션의 타임스탬프(UTC, 예: 2015-01-16 17:48:41).
      type: timestamp
      timeFormats:
        - '%Y-%m-%d %H:%M:%S'
      isEventTime: true
    - 이름: originId
      설명: 네트워크 터널의 고유 식별자.
      type: string
    - name: identity
      설명: 네트워크 터널의 이름.
      type: string
    - 이름: identityType
      설명: 요청을 한 정체성의 유형. 항상 'CDFW Tunnel Device'여야 합니다.
      type: string
    - 이름: direction
      설명: 패킷의 방향. 인터넷 쪽이거나 고객 네트워크 쪽으로 향합니다.
      type: string
    - 이름: ipProtocol
      설명: 트래픽의 실제 IP 프로토콜입니다. TCP, UDP, ICMP일 수 있습니다.
      type: bigint
    - 이름: packetSize
      설명: Umbrella CDFW가 수신한 패킷의 크기.
      type: bigint
    - 이름: sourceIp
      설명: CDFW로 향하는 사용자 생성 트래픽의 내부 IP 주소. 트래픽이 CDFW에 도달하기 전에 NAT를 통과한 경우 NAT IP 주소가 됩니다.
      type: string
      지표:
        - ip
    - 이름: sourcePort
      설명: CDFW로 향하는 사용자 생성 트래픽의 내부 포트 번호.
      유형: int
    - 이름: destinationIp
      설명: CDFW로 향하는 사용자 생성 트래픽의 목적지 IP 주소.
      type: string
      지표:
        - ip
    - 이름: destinationPort
      설명: CDFW로 향하는 사용자 생성 트래픽의 목적지 포트 번호.
      유형: int
    - 이름: dataCenter
      설명: 사용자 생성 트래픽을 처리한 Umbrella 데이터 센터의 이름.
      type: string
    - 이름: ruleId
      설명: 사용자 트래픽을 처리한 룰의 ID.
      type: string
    - 이름: verdict
      설명: 룰에 따라 트래픽을 허용할지 차단할지에 대한 최종 판정.
      type: string

CiscoUmbrella.DNS

DNS 로그는 당사의 DNS 리졸버에 도달한 트래픽을 보여줍니다.

참고: DNS 로그에 대한 Cisco 문서.

스키마: CiscoUmbrella.DNS
설명: DNS 로그는 당사의 DNS 리졸버에 도달한 트래픽을 보여줍니다.
참조URL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-dns-logs
필드:
    - 이름: timestamp
      required: true
      설명: 이 요청이 UTC로 언제 이루어졌는지. 이는 Umbrella 대시보드의 시간(지정한 시간대로 변환되는 시간)과 다릅니다.
      type: timestamp
      timeFormats:
        - '%Y-%m-%d %H:%M:%S'
      isEventTime: true
    - 이름: policyIdentity
      설명: 정확도 순서로 요청과 일치한 첫 번째 정체성.
      type: string
    - 이름: identities
      설명: 이 요청과 연관된 모든 정체성.
      type: array
      element:
        type: string
    - 이름: internalIp
      설명: 요청을 한 내부 IP 주소.
      type: string
      지표:
        - ip
    - 이름: externalIp
      설명: 요청을 한 외부 IP 주소.
      type: string
      지표:
        - ip
    - 이름: action
      설명: 요청이 허용되었는지 차단되었는지 여부.
      type: string
    - 이름: queryType
      설명: 수행된 DNS 요청의 유형. 자세한 내용은 일반적인 DNS 요청 유형을 참조하세요.
      type: string
    - 이름: responseCode
      설명: 이 요청의 DNS 반환 코드. 자세한 내용은 모든 DNS 서비스(및 Umbrella)에 대한 일반적인 DNS 반환 코드를 참조하세요.
      type: string
    - name: domain
      설명: 요청된 도메인.
      type: string
      지표:
        - 도메인
    - 이름: categories
      설명: 목적지가 일치하는 보안 또는 콘텐츠 카테고리.
      type: array
      element:
        type: string
    - 이름: policyIdentityType
      설명: 정확도 순서로 이 요청과 일치한 첫 번째 정체성 유형. 버전 3 이상에서 이용 가능.
      type: string
    - 이름: identityTypes
      설명: 요청을 한 정체성의 유형(예: Roaming Computer, Network 등). 버전 3 이상에서 이용 가능.
      type: array
      element:
        type: string
    - 이름: blockedCategories
      설명: 대상이 차단되게 한 카테고리. 버전 4 이상에서 이용 가능.
      type: array
      element:
        type: string

CiscoUmbrella.IP

IP 로그는 IP 계층 시행 기능에 의해 처리된 트래픽을 보여줍니다.

참고: IP 로그에 대한 Cisco 문서.

스키마: CiscoUmbrella.IP
설명: IP 로그는 IP 계층 시행 기능에 의해 처리된 트래픽을 보여줍니다.
참조URL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-ip-logs
필드:
    - 이름: timestamp
      required: true
      설명: 요청 트랜잭션의 타임스탬프(UTC, 예: 2015-01-16 17:48:41).
      type: timestamp
      timeFormats:
        - '%Y-%m-%d %H:%M:%S'
      isEventTime: true
    - name: identity
      설명: 요청과 일치한 첫 번째 정체성.
      type: string
    - 이름: sourceIp
      설명: 요청을 하는 컴퓨터의 IP.
      type: string
      지표:
        - ip
    - 이름: sourcePort
      설명: 요청이 이루어진 포트.
      유형: int
    - 이름: destinationIp
      설명: 요청된 목적지 IP.
      type: string
      지표:
        - ip
    - 이름: destinationPort
      설명: 요청이 이루어진 목적지 포트.
      유형: int
    - 이름: categories
      설명: 목적지 IP 주소/포트와 일치하는 보안 카테고리(있는 경우).
      type: array
      element:
        type: string
    - 이름: identityTypes
      설명: 요청을 한 정체성의 유형(예: Roaming Computer, Network 등). 버전 3 이상에서 이용 가능.
      type: array
      element:
        type: string

CiscoUmbrella.Proxy

프록시 로그는 Umbrella Secure Web Gateway(SWG) 또는 선택적 프록시를 통과한 트래픽을 보여줍니다.

참고: 선택적 프록시 로그에 대한 Cisco 문서.

스키마: CiscoUmbrella.Proxy
설명: 프록시 로그는 Umbrella Secure Web Gateway 또는 선택적 프록시를 통과한 트래픽을 보여줍니다.
참조URL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-proxy-logs
필드:
    - 이름: timestamp
      설명: 요청 트랜잭션의 타임스탬프(UTC, 예: 2015-01-16 17:48:41).
      type: timestamp
      timeFormats:
        - '%Y-%m-%d %H:%M:%S'
      isEventTime: true
    - name: identity
      설명: 요청과 일치한 첫 번째 정체성.
      type: string
    - 이름: identities
      설명: 지능형 프록시를 통해 요청을 한 정체성들(정확도 순).
      type: array
      element:
        type: string
    - 이름: internalIp
      설명: 요청을 한 컴퓨터의 내부 IP 주소.
      type: string
      지표:
        - ip
    - 이름: externalIp
      설명: 요청이 시작된 네트워크의 외부(이그레스) IP 주소.
      type: string
      지표:
        - ip
    - 이름: destinationIp
      설명: 요청의 목적지 IP 주소.
      type: string
      지표:
        - ip
    - 이름: contentType
      설명: 웹 콘텐츠의 유형, 일반적으로 text/html.
      type: string
    - 이름: verdict
      설명: 대상이 차단되었는지 허용되었는지 여부.
      type: string
    - name: url
      설명: 요청된 URL.
      type: string
      지표:
        - url
    - name: referrer
      설명: 참조 도메인 또는 URL.
      type: string
      지표:
        - url
        - hostname
    - 이름: userAgent
      설명: 요청을 한 브라우저 에이전트.
      type: string
    - 이름: statusCode
      설명: HTTP 상태 코드; 항상 200 또는 201이어야 합니다.
      유형: int
    - 이름: requestSize
      설명: 바이트 단위의 요청 크기.
      type: bigint
    - 이름: responseSize
      설명: 바이트 단위의 응답 크기.
      type: bigint
    - 이름: responseBodySize
      설명: 바이트 단위의 응답 본문 크기.
      type: bigint
    - 이름: sha
      설명: 응답 콘텐츠의 SHA256 16진수 다이제스트.
      type: string
      지표:
        - sha256
    - 이름: categories
      설명: 예: Malware와 같은 이 요청의 보안 카테고리.
      type: array
      element:
        type: string
    - 이름: avDetections
      설명: 파일 검사에 사용된 안티바이러스 엔진에 따른 탐지 이름.
      type: array
      element:
        type: string
    - 이름: puas
      설명: 안티바이러스 스캐너가 반환한 프록시된 파일에 대한 모든 잠재적 원치 않는 애플리케이션(PUA) 결과 목록.
      type: array
      element:
        type: string
    - 이름: ampDisposition
      설명: Umbrella 파일 검사 기능의 일부로 Cisco Advanced Malware Protection(AMP)이 프록시 및 검사한 파일의 상태; Clean, Malicious 또는 Unknown일 수 있습니다.
      type: string
    - 이름: ampMalwareName
      설명: Malicious인 경우 AMP에 따른 악성코드 이름.
      type: string
    - 이름: ampScore
      설명: AMP의 악성코드 점수. 이 필드는 현재 사용되지 않으며 비어 있습니다.
      type: string
    - 이름: identityType
      설명: 요청을 한 정체성의 유형. 예: Roaming Computer, Network 등.
      type: string
    - 이름: blockedCategories
      설명: 대상이 차단되게 한 카테고리. 버전 4 이상에서 이용 가능.
      type: array
      element:
        type: string

이전Carbon Black 로그 다음Cloudflare 로그

마지막 업데이트 1년 전

도움이 되었나요?

스키마: CiscoUmbrella.CloudFirewall 설명: Cloud Firewall 로그는 네트워크 터널에 의해 처리된 트래픽을 보여줍니다. 참조URL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-cloud-firewall-logs 필드: - 이름: timestamp required: true 설명: 요청 트랜잭션의 타임스탬프(UTC, 예: 2015-01-16 17:48:41). type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S' isEventTime: true - 이름: originId 설명: 네트워크 터널의 고유 식별자. type: string - name: identity 설명: 네트워크 터널의 이름. type: string - 이름: identityType 설명: 요청을 한 정체성의 유형. 항상 'CDFW Tunnel Device'여야 합니다. type: string - 이름: direction 설명: 패킷의 방향. 인터넷 쪽이거나 고객 네트워크 쪽으로 향합니다. type: string - 이름: ipProtocol 설명: 트래픽의 실제 IP 프로토콜입니다. TCP, UDP, ICMP일 수 있습니다. type: bigint - 이름: packetSize 설명: Umbrella CDFW가 수신한 패킷의 크기. type: bigint - 이름: sourceIp 설명: CDFW로 향하는 사용자 생성 트래픽의 내부 IP 주소. 트래픽이 CDFW에 도달하기 전에 NAT를 통과한 경우 NAT IP 주소가 됩니다. type: string 지표: - ip - 이름: sourcePort 설명: CDFW로 향하는 사용자 생성 트래픽의 내부 포트 번호. 유형: int - 이름: destinationIp 설명: CDFW로 향하는 사용자 생성 트래픽의 목적지 IP 주소. type: string 지표: - ip - 이름: destinationPort 설명: CDFW로 향하는 사용자 생성 트래픽의 목적지 포트 번호. 유형: int - 이름: dataCenter 설명: 사용자 생성 트래픽을 처리한 Umbrella 데이터 센터의 이름. type: string - 이름: ruleId 설명: 사용자 트래픽을 처리한 룰의 ID. type: string - 이름: verdict 설명: 룰에 따라 트래픽을 허용할지 차단할지에 대한 최종 판정. type: string

스키마: CiscoUmbrella.DNS 설명: DNS 로그는 당사의 DNS 리졸버에 도달한 트래픽을 보여줍니다. 참조URL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-dns-logs 필드: - 이름: timestamp required: true 설명: 이 요청이 UTC로 언제 이루어졌는지. 이는 Umbrella 대시보드의 시간(지정한 시간대로 변환되는 시간)과 다릅니다. type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S' isEventTime: true - 이름: policyIdentity 설명: 정확도 순서로 요청과 일치한 첫 번째 정체성. type: string - 이름: identities 설명: 이 요청과 연관된 모든 정체성. type: array element: type: string - 이름: internalIp 설명: 요청을 한 내부 IP 주소. type: string 지표: - ip - 이름: externalIp 설명: 요청을 한 외부 IP 주소. type: string 지표: - ip - 이름: action 설명: 요청이 허용되었는지 차단되었는지 여부. type: string - 이름: queryType 설명: 수행된 DNS 요청의 유형. 자세한 내용은 일반적인 DNS 요청 유형을 참조하세요. type: string - 이름: responseCode 설명: 이 요청의 DNS 반환 코드. 자세한 내용은 모든 DNS 서비스(및 Umbrella)에 대한 일반적인 DNS 반환 코드를 참조하세요. type: string - name: domain 설명: 요청된 도메인. type: string 지표: - 도메인 - 이름: categories 설명: 목적지가 일치하는 보안 또는 콘텐츠 카테고리. type: array element: type: string - 이름: policyIdentityType 설명: 정확도 순서로 이 요청과 일치한 첫 번째 정체성 유형. 버전 3 이상에서 이용 가능. type: string - 이름: identityTypes 설명: 요청을 한 정체성의 유형(예: Roaming Computer, Network 등). 버전 3 이상에서 이용 가능. type: array element: type: string - 이름: blockedCategories 설명: 대상이 차단되게 한 카테고리. 버전 4 이상에서 이용 가능. type: array element: type: string

스키마: CiscoUmbrella.Proxy 설명: 프록시 로그는 Umbrella Secure Web Gateway 또는 선택적 프록시를 통과한 트래픽을 보여줍니다. 참조URL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-proxy-logs 필드: - 이름: timestamp 설명: 요청 트랜잭션의 타임스탬프(UTC, 예: 2015-01-16 17:48:41). type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S' isEventTime: true - name: identity 설명: 요청과 일치한 첫 번째 정체성. type: string - 이름: identities 설명: 지능형 프록시를 통해 요청을 한 정체성들(정확도 순). type: array element: type: string - 이름: internalIp 설명: 요청을 한 컴퓨터의 내부 IP 주소. type: string 지표: - ip - 이름: externalIp 설명: 요청이 시작된 네트워크의 외부(이그레스) IP 주소. type: string 지표: - ip - 이름: destinationIp 설명: 요청의 목적지 IP 주소. type: string 지표: - ip - 이름: contentType 설명: 웹 콘텐츠의 유형, 일반적으로 text/html. type: string - 이름: verdict 설명: 대상이 차단되었는지 허용되었는지 여부. type: string - name: url 설명: 요청된 URL. type: string 지표: - url - name: referrer 설명: 참조 도메인 또는 URL. type: string 지표: - url - hostname - 이름: userAgent 설명: 요청을 한 브라우저 에이전트. type: string - 이름: statusCode 설명: HTTP 상태 코드; 항상 200 또는 201이어야 합니다. 유형: int - 이름: requestSize 설명: 바이트 단위의 요청 크기. type: bigint - 이름: responseSize 설명: 바이트 단위의 응답 크기. type: bigint - 이름: responseBodySize 설명: 바이트 단위의 응답 본문 크기. type: bigint - 이름: sha 설명: 응답 콘텐츠의 SHA256 16진수 다이제스트. type: string 지표: - sha256 - 이름: categories 설명: 예: Malware와 같은 이 요청의 보안 카테고리. type: array element: type: string - 이름: avDetections 설명: 파일 검사에 사용된 안티바이러스 엔진에 따른 탐지 이름. type: array element: type: string - 이름: puas 설명: 안티바이러스 스캐너가 반환한 프록시된 파일에 대한 모든 잠재적 원치 않는 애플리케이션(PUA) 결과 목록. type: array element: type: string - 이름: ampDisposition 설명: Umbrella 파일 검사 기능의 일부로 Cisco Advanced Malware Protection(AMP)이 프록시 및 검사한 파일의 상태; Clean, Malicious 또는 Unknown일 수 있습니다. type: string - 이름: ampMalwareName 설명: Malicious인 경우 AMP에 따른 악성코드 이름. type: string - 이름: ampScore 설명: AMP의 악성코드 점수. 이 필드는 현재 사용되지 않으며 비어 있습니다. type: string - 이름: identityType 설명: 요청을 한 정체성의 유형. 예: Roaming Computer, Network 등. type: string - 이름: blockedCategories 설명: 대상이 차단되게 한 카테고리. 버전 4 이상에서 이용 가능. type: array element: type: string

hashtag개요

hashtagCisco Umbrella 로그를 Panther에 온보딩하는 방법

hashtagPanther 관리 디텍션

hashtag지원되는 로그 유형

hashtagCiscoUmbrella.CloudFirewall

hashtagCiscoUmbrella.DNS

hashtagCiscoUmbrella.IP

hashtagCiscoUmbrella.Proxy

개요