# Cisco Umbrella 로그

## 개요

Panther는 수집을 지원합니다 [Cisco Umbrella](https://docs.umbrella.com/) 로그를 일반적인 [데이터 전송](https://docs.panther.com/ko/data-onboarding/data-transports) 옵션을 통해.

## Cisco Umbrella 로그를 Panther에 온보딩하는 방법

이 로그를 Panther에 연결하려면:

1. Panther Console의 왼쪽 탐색 모음에서 **구성하세요.** > **로그 소스**.
2. 을 클릭한 다음 **새로 만들기**.
3. “Cisco Umbrella”를 검색한 다음 해당 타일을 클릭합니다.
4. 다음 **전송 메커니즘** 드롭다운에서 이 통합에 사용하려는 Data Transport 방법을 선택합니다.\
   ![An arrow is drawn from a tile labeled "Cisco Umbrella" to a "Transport Mechanism" field. To its right is a "Start Setup" button.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-dc715ebb172d6d7b30e94a1d0099061a733eb4ae%2FScreenshot%202024-09-13%20at%2011.00.42%20AM.png?alt=media)
5. 을 클릭한 다음 **설정 시작**.
6. 선택한 [데이터 전송](https://docs.panther.com/ko/data-onboarding/data-transports) 방법을 구성하기 위한 Panther의 지침을 따르십시오. 예:
   * [AWS S3](https://docs.panther.com/ko/data-onboarding/data-transports/aws/s3)
   * [AWS SQS](https://docs.panther.com/ko/data-onboarding/data-transports/aws/sqs)
7. Cisco Umbrella를 구성하여 로그를 Data Transport 소스로 푸시합니다. 다음을 참조하십시오. [Cisco Umbrella의 설명서](https://docs.umbrella.com/) 에서 선택한 Data Transport 소스로 로그를 푸시하는 방법을 확인하십시오.

## Panther에서 관리하는 탐지 규칙

참조하세요 [Panther에서 관리하는](https://docs.panther.com/detections/panther-managed) Cisco Umbrella에 대한 룰은 [panther-analysis GitHub 저장소에 있습니다](https://github.com/panther-labs/panther-analysis/tree/main/rules/cisco_umbrella_dns_rules).

## 지원되는 로그 유형

### CiscoUmbrella.CloudFirewall

Cloud Firewall 로그는 네트워크 터널에 의해 처리된 트래픽을 보여줍니다.

참조: [로그 형식 및 버전 관리에 대한 Cisco 설명서](https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-cloud-firewall-logs)

```yaml
schema: CiscoUmbrella.CloudFirewall
description: Cloud Firewall 로그는 네트워크 터널에 의해 처리된 트래픽을 보여줍니다.
referenceURL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-cloud-firewall-logs
fields:
    - name: timestamp
      required: true
      description: 요청 트랜잭션의 UTC 타임스탬프입니다(2015-01-16 17:48:41).
      type: timestamp
      timeFormats:
        - '%Y-%m-%d %H:%M:%S'
      isEventTime: true
    - name: originId
      description: 네트워크 터널의 고유 식별자입니다.
      type: string
    - 이름: identity
      description: 네트워크 터널의 이름입니다.
      type: string
    - name: identityType
      description: 요청을 생성한 ID 유형입니다. 항상 'CDFW Tunnel Device'여야 합니다.
      type: string
    - 이름: direction
      description: 패킷의 방향입니다. 인터넷을 향하거나 고객의 네트워크를 향합니다.
      type: string
    - name: ipProtocol
      description: 트래픽의 실제 IP 프로토콜입니다. TCP, UDP, ICMP일 수 있습니다.
      type: bigint
    - name: packetSize
      description: Umbrella CDFW가 수신한 패킷의 크기입니다.
      type: bigint
    - name: sourceIp
      description: CDFW를 향하는 사용자 생성 트래픽의 내부 IP 주소입니다. 트래픽이 CDFW에 도달하기 전에 NAT를 거치면 NAT IP 주소가 됩니다.
      type: string
      indicators:
        - ip
    - name: sourcePort
      description: CDFW를 향하는 사용자 생성 트래픽의 내부 포트 번호입니다.
      유형: int
    - name: destinationIp
      description: CDFW를 향하는 사용자 생성 트래픽의 대상 IP 주소입니다.
      type: string
      indicators:
        - ip
    - name: destinationPort
      description: CDFW를 향하는 사용자 생성 트래픽의 대상 포트 번호입니다.
      유형: int
    - name: dataCenter
      description: 사용자 생성 트래픽을 처리한 Umbrella Data Center의 이름입니다.
      type: string
    - name: ruleId
      description: 사용자 트래픽을 처리한 룰의 ID입니다.
      type: string
    - name: verdict
      description: 룰을 기반으로 트래픽을 허용할지 차단할지에 대한 최종 판정입니다.
      type: string
```

### CiscoUmbrella.DNS

DNS 로그는 DNS 리졸버에 도달한 트래픽을 보여줍니다.

참조: [DNS 로그에 대한 Cisco 설명서.](https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-dns-logs)

```yaml
schema: CiscoUmbrella.DNS
description: DNS 로그는 DNS 리졸버에 도달한 트래픽을 보여줍니다.
referenceURL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-dns-logs
fields:
    - name: timestamp
      required: true
      description: 이 요청이 UTC에서 수행된 시점입니다. 이는 시간을 지정한 시간대로 변환하는 Umbrella 대시보드와는 다릅니다.
      type: timestamp
      timeFormats:
        - '%Y-%m-%d %H:%M:%S'
      isEventTime: true
    - name: policyIdentity
      description: 세분성 순서대로 요청과 일치한 첫 번째 ID입니다.
      type: string
    - name: identities
      description: 이 요청과 연결된 모든 ID입니다.
      type: array
      element:
        type: string
    - name: internalIp
      description: 요청을 보낸 내부 IP 주소입니다.
      type: string
      indicators:
        - ip
    - name: externalIp
      description: 요청을 보낸 외부 IP 주소입니다.
      type: string
      indicators:
        - ip
    - 이름: 동작
      description: 요청이 허용되었는지 차단되었는지 여부입니다.
      type: string
    - 이름: queryType
      description: 수행된 DNS 요청의 유형입니다. 자세한 내용은 Common DNS Request Types를 참조하십시오.
      type: string
    - name: responseCode
      description: 이 요청에 대한 DNS 반환 코드입니다. 자세한 내용은 모든 DNS 서비스(및 Umbrella)에 대한 Common DNS return codes를 참조하십시오.
      type: string
    - 이름: domain
      description: 요청된 도메인입니다.
      type: string
      indicators:
        - 도메인
    - name: categories
      description: 대상과 일치하는 보안 또는 콘텐츠 카테고리입니다.
      type: array
      element:
        type: string
    - name: policyIdentityType
      description: 세분성 순서대로 이 요청과 일치한 첫 번째 ID 유형입니다. 버전 3 이상에서 사용 가능합니다.
      type: string
    - name: identityTypes
      description: 요청을 생성한 ID 유형입니다. 예: Roaming Computer, Network 등. 버전 3 이상에서 사용 가능합니다.
      type: array
      element:
        type: string
    - name: blockedCategories
      description: 대상이 차단되도록 만든 카테고리입니다. 버전 4 이상에서 사용 가능합니다.
      type: array
      element:
        type: string
```

### CiscoUmbrella.IP

IP 로그는 IP Layer Enforcement 기능에 의해 처리된 트래픽을 보여줍니다.

참조: [IP 로그에 대한 Cisco 설명서.](https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-ip-logs)

```yaml
schema: CiscoUmbrella.IP
description: IP 로그는 IP Layer Enforcement 기능에 의해 처리된 트래픽을 보여줍니다.
referenceURL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-ip-logs
fields:
    - name: timestamp
      required: true
      description: 요청 트랜잭션의 UTC 타임스탬프입니다(2015-01-16 17:48:41).
      type: timestamp
      timeFormats:
        - '%Y-%m-%d %H:%M:%S'
      isEventTime: true
    - 이름: identity
      description: 요청과 일치한 첫 번째 ID입니다.
      type: string
    - name: sourceIp
      description: 요청을 보내는 컴퓨터의 IP입니다.
      type: string
      indicators:
        - ip
    - name: sourcePort
      description: 요청이 이루어진 포트입니다.
      유형: int
    - name: destinationIp
      description: 요청된 대상 IP입니다.
      type: string
      indicators:
        - ip
    - name: destinationPort
      description: 요청이 이루어진 대상 포트입니다.
      유형: int
    - name: categories
      description: 요청된 대상 IP 주소/포트와 일치한 보안 카테고리(있다면)입니다.
      type: array
      element:
        type: string
    - name: identityTypes
      description: 요청을 생성한 ID 유형입니다. 예: Roaming Computer, Network 등. 버전 3 이상에서 사용 가능합니다.
      type: array
      element:
        type: string
```

### CiscoUmbrella.Proxy

Proxy 로그는 Umbrella Secure Web Gateway(SWG) 또는 Selective Proxy를 통과한 트래픽을 보여줍니다.

참조: [선택적 프록시 로그에 대한 Cisco 설명서.](https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-proxy-logs)

```yaml
schema: CiscoUmbrella.Proxy
description: Proxy 로그는 Umbrella Secure Web Gateway 또는 Selective Proxy를 통과한 트래픽을 보여줍니다.
referenceURL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-proxy-logs
fields:
    - name: timestamp
      description: 요청 트랜잭션의 UTC 타임스탬프입니다(2015-01-16 17:48:41).
      type: timestamp
      timeFormats:
        - '%Y-%m-%d %H:%M:%S'
      isEventTime: true
    - 이름: identity
      description: 요청과 일치한 첫 번째 ID입니다.
      type: string
    - name: identities
      description: 세분성 순서대로 어떤 ID가 지능형 프록시를 통해 요청을 보냈는지입니다.
      type: array
      element:
        type: string
    - name: internalIp
      description: 요청을 보내는 컴퓨터의 내부 IP 주소입니다.
      type: string
      indicators:
        - ip
    - name: externalIp
      description: 요청이 시작된 네트워크의 egress IP 주소입니다.
      type: string
      indicators:
        - ip
    - name: destinationIp
      description: 요청의 대상 IP 주소입니다.
      type: string
      indicators:
        - ip
    - name: contentType
      description: 웹 콘텐츠의 유형이며, 일반적으로 text/html입니다.
      type: string
    - name: verdict
      description: 대상이 차단되었는지 허용되었는지 여부입니다.
      type: string
    - 이름: url
      description: 요청된 URL입니다.
      type: string
      indicators:
        - url
    - name: referrer
      description: 참조 도메인 또는 URL입니다.
      type: string
      indicators:
        - url
        - hostname
    - 이름: userAgent
      description: 요청을 보낸 브라우저 에이전트입니다.
      type: string
    - name: statusCode
      description: HTTP 상태 코드입니다. 항상 200 또는 201이어야 합니다.
      유형: int
    - 이름: requestSize
      description: 요청 크기(바이트)입니다.
      type: bigint
    - 이름: responseSize
      description: 응답 크기(바이트)입니다.
      type: bigint
    - name: responseBodySize
      description: 응답 본문 크기(바이트)입니다.
      type: bigint
    - name: sha
      description: 응답 콘텐츠의 SHA256 16진수 다이제스트입니다.
      type: string
      indicators:
        - sha256
    - name: categories
      description: 이 요청에 대한 보안 카테고리입니다. 예: Malware.
      type: array
      element:
        type: string
    - name: avDetections
      description: 파일 검사에 사용된 바이러스 백신 엔진에 따른 디택션 이름입니다.
      type: array
      element:
        type: string
    - name: puas
      description: 바이러스 백신 스캐너가 반환한 프록시된 파일에 대한 모든 잠재적으로 원치 않는 애플리케이션(PUA) 결과 목록입니다.
      type: array
      element:
        type: string
    - name: ampDisposition
      description: Umbrella File Inspection 기능의 일부로 Cisco Advanced Malware Protection(AMP)에 의해 프록시되고 스캔된 파일의 상태입니다. Clean, Malicious 또는 Unknown일 수 있습니다.
      type: string
    - name: ampMalwareName
      description: Malicious인 경우, AMP에 따른 멀웨어 이름입니다.
      type: string
    - name: ampScore
      description: AMP의 멀웨어 점수입니다. 이 필드는 현재 사용되지 않으며 비어 있습니다.
      type: string
    - name: identityType
      description: 요청을 생성한 ID 유형입니다. 예: Roaming Computer, Network 등.
      type: string
    - name: blockedCategories
      description: 대상이 차단되도록 만든 카테고리입니다. 버전 4 이상에서 사용 가능합니다.
      type: array
      element:
        type: string
```