GCP 로그

GCP 로그를 Panther 콘솔에 연결하기

개요

Panther는 수집을 지원합니다 Google Cloud Platform(GCP) 로그를 일반적인 데이터 전송 옵션을 통해.

GCP 로그를 Panther에 연결하려면 다음을 사용하는 것이 권장됩니다. Pub/Sub 데이터 전송 소스 와 로그 싱크를 함께 사용하면 지연 시간이 가장 짧아져 대략 5분 정도가 됩니다.

대안으로, 다음을 사용하는 경우 Google Cloud Storage(GCS) 데이터 전송 소스 를 로그 싱크와 함께 사용하면 로그가 Panther에 시간 단위로만 전달됩니다.

GCP 로그를 Panther에 온보딩하는 방법

사전 요구 사항

Google Cloud 서비스에 대한 기본 Data Access 감사 로깅 구성을 설정합니다:
1. GCP 콘솔에서 다음으로 이동합니다. IAM 및 관리자 서비스. 탐색 표시줄에서 다음을 클릭합니다. 감사 로그.
2. 을 클릭한 다음 기본 구성 설정.
3. 다음 로그 유형 탭에서 다음 유형의 확인란을 선택합니다. 관리자 읽기, 데이터 읽기, 및 데이터 쓰기.
4. 을 클릭한 다음 저장.

Google Cloud 서비스에 대한 기본 Data Access 감사 로그 구성을 설정하는 방법은 GCP 문서에서도 확인할 수 있습니다: 기본 구성 설정.

1단계: Panther에서 Google Cloud 소스 생성

Panther Console의 왼쪽 탐색 모음에서 구성 > 로그 소스.
을 클릭한 다음 새로 만들기.
"GCP"를 검색한 다음 Google Cloud 타일을 클릭합니다.
슬라이드아웃 패널에서 전송 메커니즘 오른쪽 상단의 드롭다운에서 다음을 선택합니다. Google Cloud Pub/Sub.
- 다음의 어떤 데이터 전송 옵션이든 사용할 수 있지만, Pub/Sub를 다음과 함께 사용하는 것이 권장됩니다. 로그 싱크이며, 이는 다음 단계에서 구성하게 됩니다.
선택한 항목을 구성하기 위한 Panther 문서를 따르세요. 데이터 전송.
- Pub/Sub를 선택한 경우 다음을 따르세요. Pub/Sub 소스 지침.

2단계: GCP가 로그를 데이터 전송 소스로 푸시하도록 구성

선택한 데이터 전송 소스로 로그를 전달하는 방법은 GCP 문서를 참조하세요.
- 다음을 사용하는 경우 Pub/Sub 또는 Google Cloud Storage 를 데이터 전송으로 사용하는 경우, 로그 싱크를 구성합니다.
  - 로그 싱크에서 포함 또는 제외 필터를 구성하는 방법에 대한 안내는 Panther 지식 베이스 문서를 참조하세요. GCP 로그에 대한 포함 필터 및 GCP 통합에서 로그 제외.

동영상 안내: GCS를 사용한 설정

아래 동영상은 GCP 로그를 다음을 사용해 전달하는 방법을 보여주지만 GCS, 다음을 사용하는 것이 권장됩니다 Pub/Sub GCS 대신, 더 낮은 지연 시간을 제공하기 때문입니다.

Panther에서 관리하는 탐지 규칙

참조하세요 Panther에서 관리하는 Google Cloud Platform용 규칙은 panther-analysis GitHub 저장소에 있습니다.

지원되는 로그 유형

GCP.AccessTransparency

액세스 투명성 로그는 Google 직원이 고객 콘텐츠에 접근할 때 수행한 활동을 기록합니다. 이러한 로그는 액세스에 대한 근거와 수행된 작업과 같은 사항을 기록함으로써 Google Cloud 지원 운영에 대한 가시성을 제공하고 규정 준수 요구 사항을 충족하는 데 도움을 줍니다.

자세한 내용은 액세스 투명성 로그에 대한 GCP 문서.

schema: GCP.AccessTransparency
description: |
  액세스 투명성 로그는 Google 직원이 고객 콘텐츠에 접근할 때 수행한 활동을 기록합니다.
  이러한 로그는 Google Cloud 지원 운영에 대한 가시성을 제공하고 규정 준수 요구 사항을 충족하는 데 도움을 줍니다.
referenceURL: https://cloud.google.com/assured-workloads/access-transparency/docs/reading-logs
fields:
  - name: logName
    required: true
    description: 이 로그 항목이 속한 로그의 리소스 이름입니다.
    type: string
    validate:
      allowContains: ['cloudaudit.googleapis.com%2Faccess_transparency']
  - name: severity
    description: 로그 항목의 심각도입니다. 기본값은 LogSeverity.DEFAULT입니다.
    type: string
  - name: insertId
    description: 로그 항목의 고유 식별자입니다.
    type: string
  - name: resource
    description: 이 로그 항목을 생성한 모니터링된 리소스입니다.
    type: object
    fields:
      - name: type
        required: true
        description: 이 로그 항목을 생성한 리소스의 유형
        type: string
      - name: labels
        description: 리소스를 설명하는 레이블
        type: json
  - name: timestamp
    description: 로그 항목에 설명된 이벤트가 발생한 시간입니다.
    type: timestamp
    timeFormats:
      - rfc3339
    isEventTime: true
  - name: receiveTimestamp
    description: 로그 항목이 Logging에 수신된 시간입니다.
    type: timestamp
    timeFormats:
      - rfc3339
    isEventTime: true
  - name: labels
    description: 로그 항목에 대한 추가 정보를 제공하는 사용자 정의 (키, 값) 데이터 집합입니다.
    type: json
  - name: operation
    description: 해당되는 경우 로그 항목과 관련된 작업에 대한 정보입니다.
    type: object
    fields:
      - name: id
        description: 동일한 식별자를 가진 로그 항목은 동일한 작업의 일부로 간주됩니다.
        type: string
      - name: producer
        description: 임의의 producer 식별자입니다. id와 producer의 조합은 전역적으로 고유해야 합니다.
        type: string
      - name: first
        description: 이는 작업의 첫 번째 항목입니다
        type: boolean
      - name: last
        description: 이는 작업의 마지막 항목입니다
        type: boolean
  - name: trace
    description: 있는 경우 로그 항목과 연결된 trace의 리소스 이름입니다. trace 필드는 로그와 trace를 연결합니다.
    type: string
  - name: spanId
    description: 로그 항목과 연결된 trace 내의 span ID입니다.
    type: string
  - 이름: traceSampled
    설명: 로그 항목과 연결된 트레이스의 샘플링 결정.
    type: boolean
  - 이름: sourceLocation
    설명: 로그 항목과 연결된 소스 코드 위치 정보(있는 경우).
    type: object
    fields:
      - 이름: file
        설명: 소스 파일 이름. 런타임 환경에 따라 단순 이름일 수도 있고 정규화된 전체 이름일 수도 있습니다.
        type: string
      - 이름: line
        설명: 소스 파일 내의 줄. 1부터 시작하며, 0은 사용 가능한 줄 번호가 없음을 나타냅니다.
        type: bigint
      - 이름: function
        설명: 호출되는 함수 또는 메서드의 사람이 읽을 수 있는 이름이며, 클래스나 패키지 이름과 같은 선택적 컨텍스트를 포함할 수 있습니다. 형식은 언어에 따라 달라질 수 있습니다
        type: string
  - name: jsonPayload
    required: true
    description: Access Transparency 로그 페이로드
    type: object
    fields:
      - name: at_sign_type
        required: true
        description: 페이로드의 유형이며, type.googleapis.com/google.cloud.audit.TransparencyLog여야 합니다
        rename:
          from: '@type'
        type: string
      - name: location
        description: 접근자에 대한 지리적 데이터
        type: object
        fields:
          - name: principalOfficeCountry
            description: Google 직원의 상시 근무지 위치에 대한 ISO 3166-1 alpha-2 국가 코드
            type: string
          - 이름: principalEmployingEntity
            설명: Google 직원의 고용 주체(예: Google LLC)
            type: string
          - 이름: principalPhysicalLocationCountry
            설명: 액세스가 시작된 물리적 위치의 ISO 3166-1 alpha-2 국가 코드
            type: string
      - 이름: principalJobTitle
        설명: 리소스에 액세스한 Google 직원의 직무 분류(예: 엔지니어링, 지원)
        type: string
      - 이름: product
        설명: 액세스된 GCP 서비스 목록
        type: array
        element:
          type: string
      - 이름: reason
        설명: 액세스에 대한 정당화 세부 정보
        type: array
        element:
          type: object
          fields:
            - name: type
              description: 이유 분류 (예: CUSTOMER_INITIATED_SUPPORT, GOOGLE_INITIATED_SERVICE, GOOGLE_INITIATED_REVIEW, THIRD_PARTY_DATA_REQUEST, GOOGLE_RESPONSE_TO_PRODUCTION_알러트)
              type: string
            - name: detail
              description: 특정 정당화 텍스트 (예: 사례 번호, 티켓 참조)
              type: string
      - name: permissionDetails
        description: 액세스에 대한 IAM 권한 정보
        type: array
        element:
          type: object
          fields:
            - name: permissionType
              description: 최대 IAM 권한 범주 (admin_read, admin_write, data_read, data_write)
              type: string
            - name: logAccessed
              description: 액세스가 로그 데이터로만 제한되었는지 여부를 나타내는 불리언
              type: boolean
      - name: eventId
        설명: 이 액세스 정당화에 대한 고유한 이벤트 식별자
        type: string
      - 이름: accesses
        설명: Google 직원이 수행한 특정 작업
        type: array
        element:
          type: object
          fields:
            - 이름: methodName
              설명: 작업 유형(표준 API 메서드, 사용자 정의 메서드 또는 GoogleInternal 메서드)
              type: string
            - 이름: resourceName
              설명: 액세스된 전체 리소스 식별자(예: //googleapis.com/storage/buckets/BUCKET_NAME/objects/OBJECT_NAME)
              type: string
      - 이름: accessApprovals
        설명: 이 액세스와 연결된 Access Approval 요청 리소스 이름 목록
        type: array
        element:
          type: string

GCP.AuditLog

GCP.AuditLog 스키마는 Google Cloud 감사 로그의 네 가지 유형을 모두 수집하는 것을 지원합니다:

자세한 내용은 Cloud Audit Logs에 대한 GCP 문서.

스키마: GCP.AuditLog
description: |
    Cloud Audit Logs는 각 Google Cloud 프로젝트, 폴더, 조직에 대한 감사 로그인 관리 활동, 데이터 액세스, 시스템 이벤트, 정책 거부를 유지합니다.
    Google Cloud 서비스는 Google Cloud 리소스 내에서 "누가, 무엇을, 어디서, 언제 했는가?"라는 질문에 답하는 데 도움이 되도록 이러한 로그에 감사 로그 항목을 기록합니다.
참조 URL: https://cloud.google.com/logging/docs/audit
fields:
    - name: logName
      required: true
      description: 이 로그 항목이 속한 로그의 리소스 이름입니다.
      type: string
    - name: severity
      description: 로그 항목의 심각도입니다. 기본값은 LogSeverity.DEFAULT입니다.
      type: string
    - name: insertId
      description: 로그 항목의 고유 식별자입니다.
      type: string
    - name: resource
      description: 이 로그 항목을 생성한 모니터링된 리소스입니다.
      type: object
      fields:
        - name: type
          required: true
          description: 이 로그 항목을 생성한 리소스의 유형
          type: string
        - name: labels
          description: 리소스를 설명하는 레이블
          type: json
    - name: timestamp
      description: 로그 항목에 설명된 이벤트가 발생한 시간입니다.
      type: timestamp
      timeFormats:
        - rfc3339
      isEventTime: true
    - name: receiveTimestamp
      required: true
      description: 로그 항목이 Logging에 수신된 시간입니다.
      type: timestamp
      timeFormats:
        - rfc3339
      isEventTime: true
    - name: labels
      description: 로그 항목에 대한 추가 정보를 제공하는 사용자 정의 (키, 값) 데이터 집합입니다.
      type: json
    - name: operation
      description: 해당되는 경우 로그 항목과 관련된 작업에 대한 정보입니다.
      type: object
      fields:
        - name: id
          description: 동일한 식별자를 가진 로그 항목은 동일한 작업의 일부로 간주됩니다.
          type: string
        - name: producer
          description: 임의의 producer 식별자입니다. id와 producer의 조합은 전역적으로 고유해야 합니다.
          type: string
        - name: first
          description: 이는 작업의 첫 번째 항목입니다
          type: boolean
        - name: last
          description: 이는 작업의 마지막 항목입니다
          type: boolean
    - name: trace
      description: 있는 경우 로그 항목과 연결된 trace의 리소스 이름입니다. trace 필드는 로그와 trace를 연결합니다.
      type: string
    - 이름: httpRequest
      설명: 해당되는 경우 이 로그 항목과 연결된 HTTP 요청에 대한 정보입니다.
      type: object
      fields:
        - 이름: requestMethod
          설명: 요청 HTTP 메서드입니다.
          type: string
        - 이름: requestURL
          설명: 요청된 URL의 스킴(http, https), 호스트 이름, 경로 및 쿼리 부분입니다.
          type: string
          indicators:
            - url
        - 이름: requestSize
          설명: 요청 헤더와 요청 본문을 포함한 HTTP 요청 메시지의 바이트 크기입니다.
          type: bigint
        - 이름: status
          설명: 응답 HTTP 상태 코드
          type: smallint
        - 이름: responseSize
          설명: 응답 헤더와 응답 본문을 포함하여 클라이언트로 다시 전송된 HTTP 응답 메시지의 바이트 크기입니다.
          type: bigint
        - 이름: userAgent
          설명: 클라이언트가 보낸 사용자 에이전트입니다.
          type: string
        - 이름: remoteIP
          설명: HTTP 요청을 보낸 클라이언트의 IP 주소(IPv4 또는 IPv6)입니다.
          type: string
          indicators:
            - ip
        - 이름: serverIP
          설명: 요청이 전송된 원본 서버의 IP 주소(IPv4 또는 IPv6)입니다.
          type: string
          indicators:
            - ip
        - 이름: referer
          설명: 요청의 리퍼러 URL입니다.
          type: string
          indicators:
            - url
        - 이름: latency
          설명: 요청을 받은 시점부터 응답을 보낸 시점까지의 서버 측 요청 처리 지연 시간(초)입니다.
          type: string
        - 이름: cacheLookup
          설명: 캐시 조회를 시도했는지 여부입니다.
          type: boolean
        - 이름: cacheHit
          설명: 엔터티가 캐시에서 제공되었는지 여부입니다(검증 여부와 관계없음).
          type: boolean
        - 이름: cacheValidatedWithOriginServer
          설명: 엔터티가 캐시에서 제공되었는지 여부입니다(검증 여부와 관계없음).
          type: boolean
        - 이름: cacheFillBytes
          설명: 엔터티가 캐시에서 제공되었는지 여부입니다(검증 여부와 관계없음).
          type: bigint
        - 이름: protocol
          설명: 요청에 사용된 프로토콜입니다.
          type: string
    - name: spanId
      description: 로그 항목과 연결된 trace 내의 span ID입니다.
      type: string
    - 이름: traceSampled
      설명: 로그 항목과 연결된 트레이스의 샘플링 결정.
      type: boolean
    - 이름: sourceLocation
      설명: 로그 항목과 연결된 소스 코드 위치 정보(있는 경우).
      type: object
      fields:
        - 이름: file
          설명: 소스 파일 이름. 런타임 환경에 따라 단순 이름일 수도 있고 정규화된 전체 이름일 수도 있습니다.
          type: string
        - 이름: line
          설명: 소스 파일 내의 줄. 1부터 시작하며, 0은 사용 가능한 줄 번호가 없음을 나타냅니다.
          type: bigint
        - 이름: function
          설명: 호출되는 함수 또는 메서드의 사람이 읽을 수 있는 이름이며, 클래스나 패키지 이름과 같은 선택적 컨텍스트를 포함할 수 있습니다. 형식은 언어에 따라 달라질 수 있습니다
          type: string
    - 이름: protoPayload
      required: true
      설명: AuditLog 페이로드
      type: object
      fields:
        - 이름: '@type'
          required: true
          설명: 페이로드의 유형
          type: string
        - 이름: serviceName
          설명: 작업을 수행하는 API 서비스의 이름
          type: string
        - 이름: methodName
          설명: 서비스 메서드 또는 작업의 이름입니다. API 호출의 경우 API 메서드 이름이어야 합니다.
          type: string
        - 이름: resourceName
          설명: 작업의 대상인 리소스 또는 컬렉션입니다. 이름은 API 서비스 이름을 포함하지 않는 스킴이 없는 URI입니다.
          type: string
        - 이름: numResponseItems
          설명: 해당되는 경우 List 또는 Query API 메서드에서 반환된 항목 수입니다.
          type: bigint
        - 이름: status
          설명: 전체 작업의 상태입니다.
          type: object
          fields:
            - 이름: code
              설명: 상태 코드로, google.rpc.Code의 열거형 값이어야 합니다.
              유형: int
            - name: message
              설명: 개발자용 오류 메시지로, 영어로 되어 있어야 합니다.
              type: string
            - 이름: details
              설명: 오류 세부정보를 전달하는 메시지 목록입니다. API가 사용할 수 있는 공통 메시지 유형 집합이 있습니다.
              type: json
        - 이름: authenticationInfo
          설명: 인증 정보입니다.
          type: object
          fields:
            - 이름: principalSubject
              설명: 요청 당사자 신원의 문자열 표현입니다. 1차 및 3차 당사자 신원 모두에 대해 채워집니다.
              type: string
            - 이름: serviceAccountKeyName
              설명: 요청을 보내는 서비스 계정을 인증하기 위해 자격 증명을 생성하거나 교환하는 데 사용된 서비스 계정 키의 이름입니다. 이는 스킴이 없는 URI 전체 리소스 이름입니다.
              type: string
              indicators:
                - 도메인
            - 이름: principalEmail
              설명: 요청을 보내는 인증된 사용자의 이메일 주소입니다.
              type: string
              indicators:
                - 이메일
            - 이름: authoritySelector
              설명: 있는 경우 요청자가 지정한 권한 선택자입니다. 주체가 이 권한을 사용할 수 있도록 허용되었는지는 보장되지 않습니다.
              type: string
            - 이름: thirdPartyPrincipal
              설명: 요청을 보내는 인증된 사용자의 제3자 식별 정보(있는 경우)입니다. 여기에 표현된 JSON 객체에 프로토타입 대응 항목이 있으면 proto 이름이 @type 속성에 표시됩니다.
              type: json
            - 이름: serviceAccountDelegationInfo
              설명: 요청을 보내는 인증된 서비스 계정의 신원 위임 기록입니다. 여기에는 서비스 계정을 위임하여 GCP 리소스에 액세스하려는 실제 권한 주체에 대한 정보가 포함됩니다. 여러 권한 주체가 있는 경우, 신원 위임 이벤트의 원래 순서를 기준으로 정렬된 것이 보장됩니다.
              type: array
              element:
                type: object
                fields:
                    - 이름: firstPartyPrincipal
                      설명: 실제 권한 주체로서의 1차 당사자(Google) 신원입니다.
                      type: object
                      fields:
                        - 이름: principalEmail
                          설명: Google 계정의 이메일 주소입니다.
                          type: string
                          indicators:
                            - 이메일
                        - 이름: serviceMetadata
                          설명: 서비스 계정을 사용하는 서비스에 대한 메타데이터입니다.
                          type: json
                    - 이름: thirdPartyPrincipal
                      설명: 실제 권한 주체로서의 제3자 신원입니다.
                      type: object
                      fields:
                        - 이름: thirdPartyClaims
                          설명: 제3자 신원에 대한 메타데이터입니다.
                          type: json
                    - 이름: principalSubject
                      설명: 요청 당사자 신원의 문자열 표현입니다.
                      type: string
        - 이름: authorizationInfo
          설명: 인가 정보입니다. 여러 리소스 또는 권한이 관련된 경우 {resource, permission} 튜플마다 하나의 AuthorizationInfo 요소가 있습니다.
          type: array
          element:
            type: object
            fields:
                - name: resource
                  설명: 접근 중인 리소스로, REST 스타일 문자열입니다.
                  type: string
                - 이름: permission
                  설명: 필요한 IAM 권한
                  type: string
                - 이름: granted
                  설명: 리소스 및 권한에 대한 인가가 허용되었는지 여부입니다.
                  type: boolean
                - 이름: resourceAttributes
                  설명: IAM 조건 평가에 사용되는 리소스 속성입니다. 이 필드에는 리소스 유형 및 리소스 이름과 같은 리소스 속성이 포함됩니다. IAM 조건 평가에 사용된 속성의 전체 보기를 얻으려면 사용자는 AuditLog.request_metadata.request_attributes도 확인해야 합니다.
                  type: object
                  fields:
                    - 이름: service
                      설명: 이 리소스가 속한 서비스의 이름으로, 예: pubsub.googleapis.com입니다. 서비스는 실제로 요청을 제공하는 DNS 호스트 이름과 다를 수 있습니다.
                      type: string
                    - 이름: name
                      설명: 서비스에서 리소스의 안정적인 식별자(이름)입니다.
                      type: string
                    - name: type
                      설명: 리소스의 유형입니다. 서로 다른 플랫폼이 리소스를 다르게 정의하므로 구문은 플랫폼마다 다릅니다.
                      type: string
                    - name: labels
                      설명: AWS 리소스 태그 및 Kubernetes 리소스 레이블과 같은 리소스의 레이블 또는 태그입니다.
                      type: string
                    - 이름: uid
                      description: 리소스의 고유 식별자입니다. UID는 서비스 범위 내에서 이 리소스에 대해 시간과 공간 모두에서 고유합니다. 일반적으로 리소스가 성공적으로 생성될 때 서버에 의해 생성되며 변경되어서는 안 됩니다. UID는 리소스 이름 재사용이 있는 리소스를 고유하게 식별하는 데 사용됩니다. 이는 UUID4여야 합니다.
                      type: string
        - name: requestMetadata
          description: 요청에 대한 메타데이터
          type: object
          fields:
            - name: callerIP
              description: 호출자의 IP 주소입니다.
              type: string
              indicators:
                - ip
            - name: callerSuppliedUserAgent
              description: 호출자의 사용자 에이전트입니다. 이 정보는 인증되지 않으므로 그에 맞게 취급해야 합니다.
              type: string
            - name: callerNetwork
              description: 호출자의 네트워크입니다. 네트워크 호스트 프로젝트가 액세스한 리소스와 동일한 GCP 조직(또는 프로젝트)에 속한 경우에만 설정됩니다.
              type: string
            - name: requestAttributes
              description: IAM 조건 평가에 사용되는 요청 속성입니다. 이 필드는 요청 시간 및 요청과 연결된 액세스 수준과 같은 요청 속성을 포함합니다.
              type: json
            - name: destinationAttributes
              description: TCP 연결 수락과 같은 네트워크 활동의 대상입니다.
              type: json
        - name: request
          description: 작업 요청입니다. 여기에는 너무 크거나, 개인정보에 민감하거나, 로그 기록의 다른 곳에 중복되어 있는 등의 일부 요청 매개변수가 포함되지 않을 수 있습니다. 여기 표현된 JSON 객체에 proto 대응 항목이 있는 경우, @type 속성에 proto 이름이 표시됩니다.
          type: json
        - name: response
          description: 작업 응답입니다. 여기에는 너무 크거나, 개인정보에 민감하거나, 로그 기록의 다른 곳에 중복되어 있는 등의 일부 응답 매개변수가 포함되지 않을 수 있습니다. 여기 표현된 JSON 객체에 proto 대응 항목이 있는 경우, @type 속성에 proto 이름이 표시됩니다.
          type: json
        - name: metadata
          description: 현재 감사된 이벤트와 관련된 요청, 응답 및 기타 정보에 대한 기타 서비스별 데이터입니다.
          type: json
        - name: serviceData
          description: 요청, 응답 및 기타 활동에 대한 기타 서비스별 데이터입니다.
          type: json

GCP.DNS

Google Cloud DNS 쿼리 로그에는 Cloud DNS 영역이 수신하는 DNS 쿼리에 대한 상세 정보가 포함됩니다. 이 로그는 쿼리 이름, 소스 및 대상 IP 주소, 프로토콜 정보와 같은 내용을 캡처하여 DNS 활동을 모니터링하고 DNS 관련 문제를 해결하는 데 도움이 됩니다.

자세한 내용은 DNS 쿼리 로깅에 대한 GCP 문서.

schema: GCP.DNS
description: Google Cloud DNS 쿼리 로그에는 Cloud DNS 영역이 수신하는 DNS 쿼리에 대한 상세 정보가 포함됩니다.
referenceURL: https://cloud.google.com/dns/docs/monitoring
fields:
  - name: alias_query_response_code
    type: string
  - name: egressError
    type: string
  - name: healthyIps
    type: string
  - name: unHealthyIps
    type: string
  - name: insertId
    required: true
    type: string
  - name: jsonPayload
    required: true
    type: object
    fields:
      - name: authAnswer
        type: boolean
      - name: dns64Translated
        type: boolean
        description: 응답이 DNS64를 사용하여 IPv4 주소에서 IPv6 주소로 변환되었는지 여부를 나타냅니다.
      - name: serverLatency
        type: float
      - name: queryName
        type: string
        indicators:
          - 도메인
      - name: vmProjectId
        type: string
      - name: vmZoneName
        type: string
      - name: vmInstanceName
        type: string
      - name: vmInstanceId
        type: float
        description: 숫자 VM 인스턴스 ID입니다. float 표현 때문에 매우 큰 값에서는 정밀도가 손실될 수 있습니다. 정확한 값은 vmInstanceIdString을 사용하세요.
      - name: vmInstanceIdString
        type: string
        description: 전체 정밀도를 가진 VM 인스턴스 ID의 문자열 표현입니다.
      - name: responseCode
        type: string
      - name: destinationIP
        type: string
        indicators:
          - ip
      - 이름: protocol
        type: string
      - name: structuredRdata
        type: array
        element:
          type: object
          fields:
            - name: class
              type: string
            - name: ttl
              type: string
            - name: domainName
              type: string
              indicators:
                - 도메인
            - name: rvalue
              type: string
            - name: type
              type: string
      - 이름: queryType
        type: string
      - 이름: sourceIP
        type: string
        indicators:
          - ip
      - 이름: sourceNetwork
        type: string
      - 이름: egressIP
        type: string
        indicators:
          - ip
      - 이름: rdata
        type: json
        설명: 다양한 형식의 DNS 응답 데이터입니다. DNS 레코드 필드가 포함된 객체일 수도 있고, NXDOMAIN 응답의 경우 빈 문자열일 수도 있으며, 완전히 생략될 수도 있습니다.
  - name: resource
    required: true
    type: object
    fields:
      - name: type
        required: true
        type: string
      - name: labels
        type: object
        fields:
          - 이름: target_type
            type: string
          - name: location
            type: string
          - 이름: source_type
            type: string
          - 이름: project_id
            type: string
          - 이름: target_name
            type: string
  - name: timestamp
    type: timestamp
    timeFormats:
      - rfc3339
    isEventTime: true
  - name: severity
    required: true
    type: string
  - name: logName
    required: true
    type: string
    validate:
      allowContains: ['dns.googleapis.com%2Fdns_queries']
  - name: receiveTimestamp
    required: true
    type: timestamp
    timeFormats:
      - rfc3339

GCP.Firewall

Google Cloud VPC 방화벽 규칙 로깅을 사용하면 방화벽 규칙의 효과를 감사, 검증 및 분석할 수 있습니다. 이 로그는 방화벽 규칙과 일치하는 네트워크 연결에 대한 정보를 캡처합니다.

자세한 내용은 VPC 방화벽 규칙 로깅에 대한 GCP 문서.

schema: GCP.Firewall
description: Google Cloud VPC 방화벽 규칙 로깅을 사용하면 방화벽 규칙의 효과를 감사, 검증 및 분석할 수 있습니다.
referenceURL: https://cloud.google.com/vpc/docs/firewall-rules-logging
fields:
  - name: insertId
    required: true
    type: string
  - name: jsonPayload
    required: true
    type: object
    fields:
      - name: connection
        type: object
        fields:
          - name: dest_ip
            type: string
            indicators:
              - ip
          - name: dest_port
            type: bigint
          - 이름: protocol
            type: bigint
          - 이름: src_ip
            type: string
            indicators:
              - ip
          - 이름: src_port
            type: bigint
      - 이름: disposition
        type: string
      - 이름: instance
        type: object
        fields:
          - 이름: project_id
            type: string
          - 이름: region
            type: string
          - 이름: vm_name
            type: string
          - 이름: zone
            type: string
      - 이름: remote_instance
        type: object
        fields:
          - 이름: project_id
            type: string
          - 이름: region
            type: string
          - 이름: vm_name
            type: string
          - 이름: zone
            type: string
      - 이름: remote_location
        type: object
        fields:
          - 이름: city
            type: string
          - 이름: 대륙
            type: string
          - 이름: 국가
            type: string
          - 이름: region
            type: string
      - 이름: 원격_VPC
        type: object
        fields:
          - 이름: project_id
            type: string
          - 이름: 서브네트워크_이름
            type: string
          - 이름: VPC_이름
            type: string
      - 이름: 룰_세부정보
        type: object
        fields:
          - 이름: 동작
            type: string
          - 이름: 대상_주소_그룹
            type: array
            element:
              type: string
          - 이름: 대상_FQDN
            type: array
            element:
              type: string
              indicators:
                - 도메인
          - 이름: 대상_범위
            type: array
            element:
              type: string
          - 이름: destination_region_code
            type: array
            element:
              type: string
          - 이름: destination_threat_intelligence
            type: array
            element:
              type: string
          - 이름: direction
            type: string
          - 이름: ip_port_info
            type: array
            element:
              type: object
              fields:
                - 이름: ip_protocol
                  type: string
                - 이름: port_range
                  type: array
                  element:
                    type: string
          - 이름: priority
            type: bigint
          - 이름: reference
            type: string
          - 이름: source_address_groups
            type: array
            element:
              type: string
          - 이름: source_fqdn
            type: array
            element:
              type: string
              indicators:
                - 도메인
          - name: source_range
            type: array
            element:
              type: string
          - name: source_region_code
            type: array
            element:
              type: string
          - name: source_service_account
            type: array
            element:
              type: string
          - name: source_tag
            type: array
            element:
              type: string
          - name: source_threat_intelligence
            type: array
            element:
              type: string
          - name: target_service_account
            type: array
            element:
              type: string
          - name: target_tag
            type: array
            element:
              type: string
      - name: vpc
        type: object
        fields:
          - 이름: project_id
            type: string
          - 이름: 서브네트워크_이름
            type: string
          - 이름: VPC_이름
            type: string
  - name: logName
    required: true
    type: string
    validate:
      allowContains: ['compute.googleapis.com%2Ffirewall']
  - name: receiveTimestamp
    required: true
    type: timestamp
    timeFormats:
      - rfc3339
  - name: resource
    required: true
    type: object
    fields:
      - name: labels
        type: object
        fields:
          - name: firewall_룰_id
            type: string
          - name: location
            type: string
          - 이름: project_id
            type: string
          - name: subnetwork_id
            type: string
          - 이름: 서브네트워크_이름
            type: string
      - name: type
        required: true
        type: string
  - name: timestamp
    type: timestamp
    timeFormats:
      - rfc3339
    isEventTime: true

GCP.HTTPLoadBalancer

External HTTP(S) Load Balancing은 Compute Engine, Google Kubernetes Engine(GKE), Cloud Storage 등 다양한 Google Cloud 플랫폼에서 호스팅되는 백엔드와 인터넷을 통해 또는 하이브리드 연결로 연결된 외부 백엔드로 HTTP 및 HTTPS 트래픽을 분산합니다. HTTP(S) 로드 밸런싱 로그는 웹 트래픽을 모니터링하고 디버깅하는 데 유용한 정보를 제공합니다.

자세한 내용은 HTTPLoadBalancer 문서.

schema: GCP.HTTPLoadBalancer
parser:
  native:
    name: GCP.HTTPLoadBalancer
fields:
  - 이름: httpRequest
    required: true
    description: httpRequest
    type: object
    fields:
      - 이름: referer
        description: referer
        type: string
        indicators:
          - url
      - 이름: latency
        required: true
        description: latency
        type: string
      - name: remoteIp
        required: true
        description: remoteIp
        type: string
        indicators:
          - ip
      - 이름: requestMethod
        required: true
        description: requestMethod
        type: string
      - 이름: requestSize
        required: true
        description: requestSize
        type: bigint
      - name: requestUrl
        required: true
        description: requestUrl
        type: string
        indicators:
          - url
      - 이름: responseSize
        description: responseSize
        type: bigint
      - name: serverIp
        description: serverIp
        type: string
        indicators:
          - ip
      - 이름: status
        description: status
        type: bigint
      - 이름: userAgent
        description: userAgent
        type: string
  - name: insertId
    required: true
    description: insertId
    type: string
  - name: jsonPayload
    required: true
    description: jsonPayload
    type: json
  - name: logName
    required: true
    description: logName
    type: string
  - name: receiveTimestamp
    required: true
    description: receiveTimestamp
    type: timestamp
    timeFormat: rfc3339
  - name: resource
    required: true
    description: resource
    type: object
    fields:
      - name: labels
        required: true
        description: labels
        type: object
        fields:
          - name: backend_service_name
            required: true
            description: backend_service_name
            type: string
          - name: forwarding_룰_name
            required: true
            description: forwarding_룰_name
            type: string
          - 이름: project_id
            required: true
            description: project_id
            type: string
          - name: target_proxy_name
            required: true
            description: target_proxy_name
            type: string
          - name: url_map_name
            required: true
            description: url_map_name
            type: string
          - 이름: zone
            required: true
            description: zone
            type: string
      - name: type
        required: true
        description: type
        type: string
  - name: severity
    required: true
    설명: 심각도
    type: string
  - name: spanId
    required: true
    설명: spanId
    type: string
  - name: timestamp
    required: true
    설명: 타임스탬프
    type: timestamp
    timeFormat: rfc3339
    isEventTime: true
  - name: trace
    required: true
    설명: 추적
    type: string
    indicators:
      - trace_id

이전Fluentd 로그 다음GitHub 로그

마지막 업데이트 4개월 전

도움이 되었나요?

hashtag개요

hashtagGCP 로그를 Panther에 온보딩하는 방법

hashtag사전 요구 사항

hashtag1단계: Panther에서 Google Cloud 소스 생성

hashtag2단계: GCP가 로그를 데이터 전송 소스로 푸시하도록 구성

hashtag동영상 안내: GCS를 사용한 설정

hashtagPanther에서 관리하는 탐지 규칙

hashtag지원되는 로그 유형

hashtagGCP.AccessTransparency

hashtagGCP.AuditLog

hashtagGCP.DNS

hashtagGCP.Firewall

hashtagGCP.HTTPLoadBalancer

개요

GCP 로그를 Panther에 온보딩하는 방법

사전 요구 사항

1단계: Panther에서 Google Cloud 소스 생성

2단계: GCP가 로그를 데이터 전송 소스로 푸시하도록 구성

동영상 안내: GCS를 사용한 설정

Panther에서 관리하는 탐지 규칙

지원되는 로그 유형

GCP.AccessTransparency

GCP.AuditLog

GCP.DNS

GCP.Firewall

GCP.HTTPLoadBalancer