Cisco Umbrella 로그

Cisco Umbrella 로그를 Panther 콘솔에 연결하기

개요

Panther는 수집을 지원합니다 Cisco Umbrella 로그를 일반 데이터 전송 옵션을 통해.

Cisco Umbrella 로그를 Panther에 온보딩하는 방법

이 로그를 Panther에 연결하려면:

Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.
클릭 새로 만들기.
“Cisco Umbrella”를 검색한 다음 해당 타일을 클릭하세요.
다음 전송 메커니즘 드롭다운에서 이 통합에 사용할 데이터 전송 방법을 선택하세요.
클릭 설정 시작.
선택한 구성에 대해 Panther의 지침을 따르세요 데이터 전송 방법, 예:
- AWS S3
- AWS SQS
Cisco Umbrella가 로그를 데이터 전송 소스로 푸시하도록 구성하세요. 자세한 내용은 Cisco Umbrella 문서 에서 선택한 데이터 전송 소스로 로그를 푸시하는 방법에 대한 지침을 확인하세요.

Panther 관리 탐지

참조 Panther 관리 Cisco Umbrella 규칙은 panther-analysis GitHub 리포지토리에 있습니다.

지원되는 로그 유형

CiscoUmbrella.CloudFirewall

Cloud Firewall 로그는 네트워크 터널에서 처리된 트래픽을 보여줍니다.

참조: 로그 형식 및 버전 관리에 관한 Cisco 문서

스키마: CiscoUmbrella.CloudFirewall
설명: Cloud Firewall 로그는 네트워크 터널에서 처리된 트래픽을 보여줍니다.
참조 URL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-cloud-firewall-logs
필드:
    - 이름: timestamp
      required: true
      설명: 요청 트랜잭션의 타임스탬프(UTC, 예: 2015-01-16 17:48:41).
      type: timestamp
      timeFormats:
        - '%Y-%m-%d %H:%M:%S'
      isEventTime: true
    - 이름: originId
      설명: 네트워크 터널의 고유 식별자입니다.
      type: string
    - name: identity
      설명: 네트워크 터널의 이름입니다.
      type: string
    - 이름: identityType
      설명: 요청을 만든 식별자 유형입니다. 항상 'CDFW Tunnel Device'여야 합니다.
      type: string
    - 이름: direction
      설명: 패킷의 방향입니다. 인터넷 쪽으로 향하거나 고객 네트워크 쪽으로 향합니다.
      type: string
    - 이름: ipProtocol
      설명: 트래픽의 실제 IP 프로토콜입니다. TCP, UDP, ICMP 등이 될 수 있습니다.
      type: bigint
    - 이름: packetSize
      설명: Umbrella CDFW가 수신한 패킷의 크기입니다.
      type: bigint
    - 이름: sourceIp
      설명: CDFW로 향하는 사용자 생성 트래픽의 내부 IP 주소입니다. 트래픽이 CDFW에 도달하기 전에 NAT을 통과하면 NAT IP 주소가 됩니다.
      type: string
      지표:
        - ip
    - 이름: sourcePort
      설명: CDFW로 향하는 사용자 생성 트래픽의 내부 포트 번호입니다.
      유형: int
    - 이름: destinationIp
      설명: CDFW로 향하는 사용자 생성 트래픽의 목적지 IP 주소입니다.
      type: string
      지표:
        - ip
    - 이름: destinationPort
      설명: CDFW로 향하는 사용자 생성 트래픽의 목적지 포트 번호입니다.
      유형: int
    - 이름: dataCenter
      설명: 사용자 생성 트래픽을 처리한 Umbrella 데이터 센터의 이름입니다.
      type: string
    - 이름: ruleId
      설명: 사용자 트래픽을 처리한 규칙의 ID입니다.
      type: string
    - 이름: verdict
      설명: 규칙에 따라 트래픽을 허용할지 차단할지에 대한 최종 판정입니다.
      type: string

CiscoUmbrella.DNS

DNS 로그는 당사 DNS 해석기에 도달한 트래픽을 보여줍니다.

참조: DNS 로그에 관한 Cisco 문서.

스키마: CiscoUmbrella.DNS
설명: DNS 로그는 당사 DNS 해석기에 도달한 트래픽을 보여줍니다.
참조 URL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-dns-logs
필드:
    - 이름: timestamp
      required: true
      설명: 이 요청이 수행된 시간(UTC). 이는 Umbrella 대시보드의 시간(지정한 시간대에 맞춰 변환된 시간)과 다릅니다.
      type: timestamp
      timeFormats:
        - '%Y-%m-%d %H:%M:%S'
      isEventTime: true
    - 이름: policyIdentity
      설명: 세분성 순서대로 요청과 일치한 첫 번째 식별자입니다.
      type: string
    - 이름: identities
      설명: 이 요청과 연관된 모든 식별자입니다.
      type: array
      element:
        type: string
    - 이름: internalIp
      설명: 요청을 한 내부 IP 주소입니다.
      type: string
      지표:
        - ip
    - 이름: externalIp
      설명: 요청을 한 외부 IP 주소입니다.
      type: string
      지표:
        - ip
    - 이름: action
      설명: 요청이 허용되었는지 차단되었는지 여부입니다.
      type: string
    - 이름: queryType
      설명: 수행된 DNS 요청 유형입니다. 자세한 내용은 일반적인 DNS 요청 유형을 참조하세요.
      type: string
    - 이름: responseCode
      설명: 이 요청의 DNS 반환 코드입니다. 자세한 내용은 모든 DNS 서비스(및 Umbrella)의 일반적인 DNS 반환 코드를 참조하세요.
      type: string
    - 이름: domain
      설명: 요청된 도메인입니다.
      type: string
      지표:
        - 도메인
    - 이름: categories
      설명: 목적지와 일치하는 보안 또는 콘텐츠 카테고리입니다.
      type: array
      element:
        type: string
    - 이름: policyIdentityType
      설명: 세분성 순서대로 이 요청과 일치한 첫 번째 식별자 유형입니다. 버전 3 이상에서 제공됩니다.
      type: string
    - 이름: identityTypes
      설명: 요청을 만든 식별자 유형입니다. 예: Roaming Computer, Network 등. 버전 3 이상에서 제공됩니다.
      type: array
      element:
        type: string
    - 이름: blockedCategories
      설명: 목적지가 차단된 원인이 된 카테고리입니다. 버전 4 이상에서 제공됩니다.
      type: array
      element:
        type: string

CiscoUmbrella.IP

IP 로그는 IP 계층 시행 기능에서 처리된 트래픽을 보여줍니다.

참조: IP 로그에 관한 Cisco 문서.

스키마: CiscoUmbrella.IP
설명: IP 로그는 IP 계층 시행 기능에서 처리된 트래픽을 보여줍니다.
참조 URL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-ip-logs
필드:
    - 이름: timestamp
      required: true
      설명: 요청 트랜잭션의 타임스탬프(UTC, 예: 2015-01-16 17:48:41).
      type: timestamp
      timeFormats:
        - '%Y-%m-%d %H:%M:%S'
      isEventTime: true
    - name: identity
      설명: 요청과 일치한 첫 번째 식별자입니다.
      type: string
    - 이름: sourceIp
      설명: 요청을 하는 컴퓨터의 IP입니다.
      type: string
      지표:
        - ip
    - 이름: sourcePort
      설명: 요청이 이루어진 포트입니다.
      유형: int
    - 이름: destinationIp
      설명: 요청된 목적지 IP입니다.
      type: string
      지표:
        - ip
    - 이름: destinationPort
      설명: 요청이 이루어진 목적지 포트입니다.
      유형: int
    - 이름: categories
      설명: 요청된 목적지 IP 주소/포트와 일치한 보안 카테고리(있는 경우)입니다.
      type: array
      element:
        type: string
    - 이름: identityTypes
      설명: 요청을 만든 식별자 유형입니다. 예: Roaming Computer, Network 등. 버전 3 이상에서 제공됩니다.
      type: array
      element:
        type: string

CiscoUmbrella.Proxy

프록시 로그는 Umbrella Secure Web Gateway(SWG) 또는 선택적 프록시를 통과한 트래픽을 보여줍니다.

참조: 선택적 프록시 로그에 관한 Cisco 문서.

스키마: CiscoUmbrella.Proxy
설명: 프록시 로그는 Umbrella Secure Web Gateway 또는 선택적 프록시를 통과한 트래픽을 보여줍니다.
참조 URL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-proxy-logs
필드:
    - 이름: timestamp
      설명: 요청 트랜잭션의 타임스탬프(UTC, 예: 2015-01-16 17:48:41).
      type: timestamp
      timeFormats:
        - '%Y-%m-%d %H:%M:%S'
      isEventTime: true
    - name: identity
      설명: 요청과 일치한 첫 번째 식별자입니다.
      type: string
    - 이름: identities
      설명: 지능형 프록시를 통해 요청을 한 식별자들(세분성 순서)입니다.
      type: array
      element:
        type: string
    - 이름: internalIp
      설명: 요청을 한 컴퓨터의 내부 IP 주소입니다.
      type: string
      지표:
        - ip
    - 이름: externalIp
      설명: 요청이 시작된 네트워크의 이그레스 IP 주소입니다.
      type: string
      지표:
        - ip
    - 이름: destinationIp
      설명: 요청의 목적지 IP 주소입니다.
      type: string
      지표:
        - ip
    - 이름: contentType
      설명: 웹 콘텐츠 유형, 일반적으로 text/html입니다.
      type: string
    - 이름: verdict
      설명: 목적지가 차단되었는지 허용되었는지 여부입니다.
      type: string
    - name: url
      설명: 요청된 URL입니다.
      type: string
      지표:
        - URL
    - name: referrer
      설명: 참조 도메인 또는 URL입니다.
      type: string
      지표:
        - URL
        - 호스트명
    - 이름: userAgent
      설명: 요청을 한 브라우저 에이전트입니다.
      type: string
    - 이름: statusCode
      설명: HTTP 상태 코드; 항상 200 또는 201이어야 합니다.
      유형: int
    - 이름: requestSize
      설명: 요청 크기(바이트)입니다.
      type: bigint
    - 이름: responseSize
      설명: 응답 크기(바이트)입니다.
      type: bigint
    - 이름: responseBodySize
      설명: 응답 본문 크기(바이트)입니다.
      type: bigint
    - 이름: sha
      설명: 응답 콘텐츠의 SHA256 16진수 다이제스트입니다.
      type: string
      지표:
        - sha256
    - 이름: categories
      설명: 이 요청에 대한 보안 카테고리(예: Malware)입니다.
      type: array
      element:
        type: string
    - 이름: avDetections
      설명: 파일 검사에 사용된 안티바이러스 엔진에 따른 탐지 이름입니다.
      type: array
      element:
        type: string
    - 이름: puas
      설명: 안티바이러스 스캐너가 반환한 프록시된 파일에 대한 모든 잠재적 원치 않는 애플리케이션(PUA) 결과 목록입니다.
      type: array
      element:
        type: string
    - 이름: ampDisposition
      설명: Umbrella 파일 검사 기능의 일부로 Cisco Advanced Malware Protection(AMP)이 프록시 및 검사한 파일의 상태; Clean, Malicious 또는 Unknown일 수 있습니다.
      type: string
    - 이름: ampMalwareName
      설명: Malicious인 경우 AMP에 따른 멀웨어 이름입니다.
      type: string
    - 이름: ampScore
      설명: AMP의 멀웨어 점수입니다. 이 필드는 현재 사용되지 않으며 비어 있습니다.
      type: string
    - 이름: identityType
      설명: 요청을 만든 식별자 유형입니다. 예: Roaming Computer, Network 등.
      type: string
    - 이름: blockedCategories
      설명: 목적지가 차단된 원인이 된 카테고리입니다. 버전 4 이상에서 제공됩니다.
      type: array
      element:
        type: string

PreviousCarbon Black 로그 NextCloudflare 로그

Last updated 1 year ago

Was this helpful?

스키마: CiscoUmbrella.CloudFirewall 설명: Cloud Firewall 로그는 네트워크 터널에서 처리된 트래픽을 보여줍니다. 참조 URL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-cloud-firewall-logs 필드: - 이름: timestamp required: true 설명: 요청 트랜잭션의 타임스탬프(UTC, 예: 2015-01-16 17:48:41). type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S' isEventTime: true - 이름: originId 설명: 네트워크 터널의 고유 식별자입니다. type: string - name: identity 설명: 네트워크 터널의 이름입니다. type: string - 이름: identityType 설명: 요청을 만든 식별자 유형입니다. 항상 'CDFW Tunnel Device'여야 합니다. type: string - 이름: direction 설명: 패킷의 방향입니다. 인터넷 쪽으로 향하거나 고객 네트워크 쪽으로 향합니다. type: string - 이름: ipProtocol 설명: 트래픽의 실제 IP 프로토콜입니다. TCP, UDP, ICMP 등이 될 수 있습니다. type: bigint - 이름: packetSize 설명: Umbrella CDFW가 수신한 패킷의 크기입니다. type: bigint - 이름: sourceIp 설명: CDFW로 향하는 사용자 생성 트래픽의 내부 IP 주소입니다. 트래픽이 CDFW에 도달하기 전에 NAT을 통과하면 NAT IP 주소가 됩니다. type: string 지표: - ip - 이름: sourcePort 설명: CDFW로 향하는 사용자 생성 트래픽의 내부 포트 번호입니다. 유형: int - 이름: destinationIp 설명: CDFW로 향하는 사용자 생성 트래픽의 목적지 IP 주소입니다. type: string 지표: - ip - 이름: destinationPort 설명: CDFW로 향하는 사용자 생성 트래픽의 목적지 포트 번호입니다. 유형: int - 이름: dataCenter 설명: 사용자 생성 트래픽을 처리한 Umbrella 데이터 센터의 이름입니다. type: string - 이름: ruleId 설명: 사용자 트래픽을 처리한 규칙의 ID입니다. type: string - 이름: verdict 설명: 규칙에 따라 트래픽을 허용할지 차단할지에 대한 최종 판정입니다. type: string

스키마: CiscoUmbrella.DNS 설명: DNS 로그는 당사 DNS 해석기에 도달한 트래픽을 보여줍니다. 참조 URL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-dns-logs 필드: - 이름: timestamp required: true 설명: 이 요청이 수행된 시간(UTC). 이는 Umbrella 대시보드의 시간(지정한 시간대에 맞춰 변환된 시간)과 다릅니다. type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S' isEventTime: true - 이름: policyIdentity 설명: 세분성 순서대로 요청과 일치한 첫 번째 식별자입니다. type: string - 이름: identities 설명: 이 요청과 연관된 모든 식별자입니다. type: array element: type: string - 이름: internalIp 설명: 요청을 한 내부 IP 주소입니다. type: string 지표: - ip - 이름: externalIp 설명: 요청을 한 외부 IP 주소입니다. type: string 지표: - ip - 이름: action 설명: 요청이 허용되었는지 차단되었는지 여부입니다. type: string - 이름: queryType 설명: 수행된 DNS 요청 유형입니다. 자세한 내용은 일반적인 DNS 요청 유형을 참조하세요. type: string - 이름: responseCode 설명: 이 요청의 DNS 반환 코드입니다. 자세한 내용은 모든 DNS 서비스(및 Umbrella)의 일반적인 DNS 반환 코드를 참조하세요. type: string - 이름: domain 설명: 요청된 도메인입니다. type: string 지표: - 도메인 - 이름: categories 설명: 목적지와 일치하는 보안 또는 콘텐츠 카테고리입니다. type: array element: type: string - 이름: policyIdentityType 설명: 세분성 순서대로 이 요청과 일치한 첫 번째 식별자 유형입니다. 버전 3 이상에서 제공됩니다. type: string - 이름: identityTypes 설명: 요청을 만든 식별자 유형입니다. 예: Roaming Computer, Network 등. 버전 3 이상에서 제공됩니다. type: array element: type: string - 이름: blockedCategories 설명: 목적지가 차단된 원인이 된 카테고리입니다. 버전 4 이상에서 제공됩니다. type: array element: type: string

스키마: CiscoUmbrella.Proxy 설명: 프록시 로그는 Umbrella Secure Web Gateway 또는 선택적 프록시를 통과한 트래픽을 보여줍니다. 참조 URL: https://docs.umbrella.com/deployment-umbrella/docs/log-formats-and-versioning#section-proxy-logs 필드: - 이름: timestamp 설명: 요청 트랜잭션의 타임스탬프(UTC, 예: 2015-01-16 17:48:41). type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S' isEventTime: true - name: identity 설명: 요청과 일치한 첫 번째 식별자입니다. type: string - 이름: identities 설명: 지능형 프록시를 통해 요청을 한 식별자들(세분성 순서)입니다. type: array element: type: string - 이름: internalIp 설명: 요청을 한 컴퓨터의 내부 IP 주소입니다. type: string 지표: - ip - 이름: externalIp 설명: 요청이 시작된 네트워크의 이그레스 IP 주소입니다. type: string 지표: - ip - 이름: destinationIp 설명: 요청의 목적지 IP 주소입니다. type: string 지표: - ip - 이름: contentType 설명: 웹 콘텐츠 유형, 일반적으로 text/html입니다. type: string - 이름: verdict 설명: 목적지가 차단되었는지 허용되었는지 여부입니다. type: string - name: url 설명: 요청된 URL입니다. type: string 지표: - URL - name: referrer 설명: 참조 도메인 또는 URL입니다. type: string 지표: - URL - 호스트명 - 이름: userAgent 설명: 요청을 한 브라우저 에이전트입니다. type: string - 이름: statusCode 설명: HTTP 상태 코드; 항상 200 또는 201이어야 합니다. 유형: int - 이름: requestSize 설명: 요청 크기(바이트)입니다. type: bigint - 이름: responseSize 설명: 응답 크기(바이트)입니다. type: bigint - 이름: responseBodySize 설명: 응답 본문 크기(바이트)입니다. type: bigint - 이름: sha 설명: 응답 콘텐츠의 SHA256 16진수 다이제스트입니다. type: string 지표: - sha256 - 이름: categories 설명: 이 요청에 대한 보안 카테고리(예: Malware)입니다. type: array element: type: string - 이름: avDetections 설명: 파일 검사에 사용된 안티바이러스 엔진에 따른 탐지 이름입니다. type: array element: type: string - 이름: puas 설명: 안티바이러스 스캐너가 반환한 프록시된 파일에 대한 모든 잠재적 원치 않는 애플리케이션(PUA) 결과 목록입니다. type: array element: type: string - 이름: ampDisposition 설명: Umbrella 파일 검사 기능의 일부로 Cisco Advanced Malware Protection(AMP)이 프록시 및 검사한 파일의 상태; Clean, Malicious 또는 Unknown일 수 있습니다. type: string - 이름: ampMalwareName 설명: Malicious인 경우 AMP에 따른 멀웨어 이름입니다. type: string - 이름: ampScore 설명: AMP의 멀웨어 점수입니다. 이 필드는 현재 사용되지 않으며 비어 있습니다. type: string - 이름: identityType 설명: 요청을 만든 식별자 유형입니다. 예: Roaming Computer, Network 등. type: string - 이름: blockedCategories 설명: 목적지가 차단된 원인이 된 카테고리입니다. 버전 4 이상에서 제공됩니다. type: array element: type: string

hashtag개요

hashtagCisco Umbrella 로그를 Panther에 온보딩하는 방법

hashtagPanther 관리 탐지

hashtag지원되는 로그 유형

hashtagCiscoUmbrella.CloudFirewall

hashtagCiscoUmbrella.DNS

hashtagCiscoUmbrella.IP

hashtagCiscoUmbrella.Proxy

개요