Docusign 로그

Panther는 Docusign Connect webhook 이벤트 수집을 지원합니다

개요

Panther는 수집을 지원합니다 Docusign HTTP를 통한 Connect 웹훅 이벤트. Docusign Connect 는 전자서명 워크플로의 특정 이벤트가 발생할 때 Panther와 같은 외부 애플리케이션에 알림을 보내는 웹훅을 구성할 수 있게 해줍니다.

Docusign Connect 웹훅은 봉투(발송, 전달, 완료 또는 무효화), 수신인, 템플릿, 신원 인증 등 다양한 엔티티에 대한 실시간 알림을 제공할 수 있습니다. 다음에서 사용 가능한 이벤트 트리거의 전체 목록을 확인하세요.

Panther에서 Docusign 로그 통합을 통해 다음을 수행할 수 있습니다:

무단 액세스 및 사기 감지: 인증 실패 시도, 의심스러운 수신인 행동, 비정상적인 서명 패턴 및 예기치 않은 봉투 수정 추적
템플릿 보안 모니터링: 문서 템플릿의 생성, 수정 또는 삭제 모니터링
계정 활동 모니터링: 관리자 조치 및 구성 변경 추적

보안 모니터링에 일반적으로 사용되는 Docusign 이벤트 트리거

다음 이벤트 트리거 는 보안 모니터링에 일반적으로 사용됩니다:

recipient-authentication-failure: 인증 실패
envelope-voided: 봉투 취소(잠재적 사기)
envelope-corrected: 문서 수정(잠재적 변조)
template-created, template-modified, template-deleted: 템플릿 변경
recipient-declined: 문서 거부

Docusign 로그를 Panther에 온보딩하는 방법

필수 조건

Docusign Connect 웹훅을 구성하려면 Docusign 계정에서 관리자 권한이 있어야 합니다. 자세한 내용은 Docusign Connect 문서 를 참조하세요.

1단계: Panther에서 새 Docusign 소스 생성

Panther 콘솔의 왼쪽 네비게이션 바에서 클릭하세요 Configure > 로그 소스.
클릭 새로 만들기.
"Docusign"을 검색한 다음 해당 타일을 클릭하세요.
클릭 설정 시작.
Panther의 HTTP 소스 구성에 대한 지침을(를) 5단계부터 시작하여 따르세요.
- 설정 중에, 인증 방식에 대해 기본 인증 또는 HMAC.
  - 을(를) 사용해야 합니다 HMAC, 다음의 경우 헤더 이름, 입력 X-Docusign-Signature-1. 여기에서 Connect 웹훅에 HMAC을 사용하는 방법에 대해 자세히 알아보세요.
- 이후 Docusign에서 웹훅을 설정할 때 필요하므로 구성한 인증 정보를 저장하세요.
- 이 소스로 전송되는 페이로드는 다음의 적용을 받습니다 모든 HTTP 소스에 대한 페이로드 요구사항.
- HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.

2단계: Docusign Connect 웹훅 구성

아래 단계를 따라 Docusign Connect 웹훅을 구성하세요. 이 과정에서 추가 지원이 필요하면 다음을 참조하세요 Docusign의 Connect 구성 생성 문서.

관리자 계정으로 Docusign에 로그인하세요.
탐색 바에서 클릭하세요 통합 > Connect.
클릭 구성 추가 > 사용자 정의.
다음을 구성하세요 웹훅 Connect 필드:
- 이름: 설명적인 이름을 입력하세요. 예: Panther Security Integration.
- 게시할 URL: 다음을 입력하세요 HTTP 소스 URL 1단계에서 Panther에서 생성한 URL입니다.
- 트리거 이벤트: 다음을 선택하세요 이벤트 트리거 모니터링하려는 항목
  - 데이터 포함: 각 범주에 대해 Panther로 전송되는 이벤트에 포함되길 원하는 필드를 선택하세요. 이러한 필드에 대해서는 이 Docusign 문서.

에 대해 봉투(Envelope) 및 수신자(Recipient) 이벤트의 경우, 다음을 비워두는 것이 권장됩니다 문서 및 첨부파일 선택하지 않음. 이렇게 하면 페이로드 크기를 줄여 이벤트 전달 지연을 방지할 수 있습니다. 다음에서 자세히 알아보세요 대신 eSignature API를 통해 문서를 검색하는 방법은 여기에서 확인하세요.

HMAC 서명 포함: 1단계에서 Panther에서 HMAC 인증을 사용한 경우 이 항목을 선택하세요.
- 의 1. 필드에 HMAC 값을 입력하세요 헤더 이름 1단계에서 Panther에 입력한 값입니다. Docusign은 이 값을 X-Docusign-Signature-1 헤더와 연관하여 전송합니다.
- 자세한 내용은 다음을 참조하세요 Docusign Connect와 함께 HMAC 보안을 사용하는 Docusign 문서.
- 기본 인증 헤더 포함: 1단계에서 Panther에서 기본 인증을 사용한 경우 이 항목을 선택하세요.
사용자 이름: 다음을 입력하세요 사용자 이름 1단계에서 Panther에 입력한 값입니다.
비밀번호: 다음을 입력하세요 비밀번호 1단계에서 Panther에 입력한 값입니다.

클릭 구성 추가.

지원되는 로그 유형

Docusign.Connect

봉투 상태 변경, 수신자 작업, 문서 워크플로 업데이트 등과 관련된 알림을 제공하는 Docusign Connect 웹후크 이벤트입니다.

참조: Docusign Connect JSON SIM 이벤트 모델

스키마: Docusign.Connect
설명: 봉투 상태 변경, 수신자 작업 및 문서 워크플로 업데이트 등에 대해 알림을 제공하는 Docusign Connect 웹후크 이벤트
참조 URL: https://developers.docusign.com/platform/webhooks/connect/json-sim-event-model
필드:
  - 이름: event
    필수: true
    설명: 웹후크를 트리거한 이벤트 유형(예: recipient-sent, envelope-completed).
    타입: 문자열
  - 이름: uri
    설명: 봉투 리소스의 REST API URI.
    타입: 문자열
  - 이름: retryCount
    설명: 이 웹후크 전달에 대한 재시도 시도 횟수.
    타입: 문자열
  - 이름: configurationId
    설명: 이 웹후크를 생성한 Connect 구성 ID.
    타입: 문자열
  - 이름: apiVersion
    설명: 이 이벤트에 사용된 Docusign API 버전.
    타입: 문자열
  - 이름: generatedDateTime
    필수: true
    설명: Docusign에서 이벤트가 생성된 시각.
    타입: 타임스탬프
    시간 형식:
      - rfc3339
    isEventTime: true
  - 이름: data
    필수: true
    설명: 이벤트 정보를 포함하는 주요 이벤트 데이터.
    타입: 객체
    필드:
      - 이름: accountId
        설명: 발신자의 계정을 식별하거나 Recipient Connect의 경우 수신자의 계정을 식별합니다.
        타입: 문자열
        지표:
          - trace_id
      - 이름: userId
        설명: 이벤트와 관련된 사용자 ID
        타입: 문자열
        지표:
          - trace_id
      - 이름: recipientId
        설명: 이 이벤트와 관련된 수신자 ID
        타입: 문자열
        지표:
          - trace_id
      - 이름: envelopeId
        설명: 이벤트에 관련된 봉투를 식별합니다.
        타입: 문자열
        지표:
          - trace_id
      - 이름: name
        설명: 관련 템플릿 이벤트의 이름 또는 봉투가 재할당된 사람의 이름.
        타입: 문자열
      - 이름: email
        설명: 봉투가 재할당된 사람의 이메일 주소.
        타입: 문자열
        지표:
          - 이메일
      - 이름: routingOrder
        설명: 봉투가 재할당된 사람의 라우팅 순서.
        타입: 문자열
      - 이름: created
        설명: 템플릿이 생성/편집/삭제된 UTC 날짜 및 시간.
        타입: 타임스탬프
        시간 형식:
          - rfc3339
      - name: templateId
        description: 생성/편집/삭제된 템플릿 ID입니다.
        타입: 문자열
        지표:
          - trace_id
      - name: clickwrapId
        description: 합의되거나 거부된 엘라스틱 템플릿을 식별합니다.
        타입: 문자열
        지표:
          - trace_id
      - name: agreementId
        description: 엘라스틱 템플릿 내의 합의를 식별합니다.
        타입: 문자열
        지표:
          - trace_id

사용자 정의 디택션 패턴

Docusign용 사용자 정의 디텍션을 작성할 때 다음과 같은 일반 패턴을 사용할 수 있습니다:

# 특정 이벤트 유형 확인
event_type = event.get('event')

# 인증 실패 모니터링
if event_type == 'recipient-authentication-failure':
    return True
    
# 봉투 무효화 모니터링(잠재적 사기 지표)  
if event_type == 'envelope-voided':
    return True

# 봉투 및 발신자/수신자 데이터 접근
envelope_id = deep_get(event, 'data', 'envelopeId')
account_id = deep_get(event, 'data', 'accountId')

Docusign 로그 쿼리하기

다음에서 Docusign 로그를 쿼리하려면 Data Explorer:

-- 최근 Docusign 이벤트 보기
SELECT event, generatedDateTime, data:envelopeId, data:email
FROM panther_logs.docusign_connect
WHERE p_occurs_since('1 day')
ORDER BY p_event_time DESC;

-- 인증 실패 모니터링
SELECT *
FROM panther_logs.docusign_connect  
WHERE event = 'recipient-authentication-failure'
  AND p_occurs_since('7 days')
ORDER BY p_event_time DESC;

-- 봉투 상태 변경 추적
SELECT event, data:envelopeId, data:accountId, generatedDateTime
FROM panther_logs.docusign_connect
WHERE event LIKE 'envelope-%'
  AND p_occurs_since('1 day')
ORDER BY generatedDateTime DESC;

이전Docker 로그 다음Dropbox 로그

마지막 업데이트 26일 전

도움이 되었나요?

hashtag개요

hashtag보안 모니터링에 일반적으로 사용되는 Docusign 이벤트 트리거

hashtagDocusign 로그를 Panther에 온보딩하는 방법

hashtag필수 조건

hashtag1단계: Panther에서 새 Docusign 소스 생성

hashtag2단계: Docusign Connect 웹훅 구성

hashtag지원되는 로그 유형

hashtagDocusign.Connect

hashtag사용자 정의 디택션 패턴

hashtagDocusign 로그 쿼리하기

개요

보안 모니터링에 일반적으로 사용되는 Docusign 이벤트 트리거

Docusign 로그를 Panther에 온보딩하는 방법

필수 조건

1단계: Panther에서 새 Docusign 소스 생성

2단계: Docusign Connect 웹훅 구성

지원되는 로그 유형

Docusign.Connect

사용자 정의 디택션 패턴

Docusign 로그 쿼리하기