GCP 로그

GCP 로그를 Panther 콘솔에 연결하기

개요

Panther는 다음을 수집하는 것을 지원합니다 Google Cloud Platform (GCP) 로그를 공통 데이터 전송 옵션을 통해.

GCP 로그를 Panther에 연결하려면 다음을 사용하는 것이 권장됩니다 Pub/Sub 데이터 전송 소스 와(과) 함께 로그 싱크을(를) 사용하면 대기 시간이 가장 짧아 약 5분입니다.

또는, 다음을 사용하는 경우 Google Cloud Storage (GCS) 데이터 전송 소스 로그 싱크와 함께 사용하면 로그가 시간 단위로만 Panther에 전달됩니다.

GCP 로그를 Panther에 온보딩하는 방법

전제 조건

Google Cloud 서비스에 대한 기본 데이터 액세스 감사 로깅 구성을 설정합니다:
1. GCP 콘솔에서 다음으로 이동합니다 IAM 및 관리자 서비스. 탐색 모음에서 클릭합니다 감사 로그.
2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 기본 구성 설정.
3. 일반 구성 로그 유형 탭에서 다음 유형에 대한 상자를 선택합니다: 관리자 읽기, 데이터 읽기및 데이터 쓰기.
4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. "Resource": "<secret ARN>".

Google Cloud 서비스에 대한 기본 데이터 액세스 감사 로그 구성을 설정하는 방법은 GCP 문서에서도 찾을 수 있습니다: 기본 구성 설정.

1단계: Panther에서 Google Cloud 소스 생성

Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.
"GCP"를 검색한 다음 Google Cloud 타일을 클릭합니다.
슬라이드 아웃 패널에서, 전송 메커니즘 오른쪽 상단의 드롭다운에서 선택합니다 Google Cloud Pub/Sub.
- 어떤 데이터 전송 옵션을 사용할 수는 있지만 Pub/Sub를 로그 싱크와(과) 함께 사용하는 것이 권장됩니다. 다음 단계에서 구성합니다.
선택한 데이터 전송.
- 을(를) 구성하는 Panther 문서를 따르십시오 Pub/Sub를 선택한 경우, 다음의.

Pub/Sub 소스 지침을 따르십시오

2단계: GCP를 구성하여 로그를 데이터 전송 소스로 푸시
- 선택한 데이터 전송 소스로 로그를 전달하는 방법에 대한 지침은 GCP 문서를 참조하십시오. 사용하는 경우 이전에 생성한 Snowflake 사용자 이름, 예를 들면 Pub/Sub Google Cloud Storage 데이터 전송으로 사용되는 경우,.
  - 로그 싱크를 구성합니다 로그 싱크에서 포함 또는 제외 필터를 구성하는 방법에 대한 지침은 Panther 지식 기반의 와 GCP 로그에 대한 포함 필터.

GCP 통합에서 로그 제외

비디오 안내: GCS 사용 설정 아래 비디오는 GCS를 사용하여 GCP 로그를 전달하는 방법을 보여주지만,권장됩니다 사용하는 경우 GCS 대신을 사용하는 것이 대기 시간이 더 짧기 때문에 권장됩니다.

Panther 관리 디텍션

참조 Panther 관리 Google Cloud Platform용 룰은 panther-analysis GitHub 리포지토리.

지원되는 로그 유형

GCP.AccessTransparency

Access Transparency 로그는 고객 콘텐츠에 접근할 때 Google 직원이 수행한 활동을 기록합니다. 이러한 로그는 Google Cloud 지원 운영에 대한 가시성을 제공하고 접근 정당성 및 수행된 작업과 같은 항목을 기록하여 규정 준수 요구사항 충족에 도움이 됩니다.

자세한 내용은 Access Transparency 로그에 대한 GCP 문서.

스키마: GCP.AccessTransparency
설명: |
  Access Transparency 로그는 고객 콘텐츠에 접근할 때 Google 직원이 수행한 활동을 기록합니다.
  이러한 로그는 Google Cloud 지원 운영에 대한 가시성을 제공하고 규정 준수 요구사항 충족에 도움이 됩니다.
참고 URL: https://cloud.google.com/assured-workloads/access-transparency/docs/reading-logs
필드:
  - 이름: logName
    required: true
    설명: 이 로그 항목이 속한 로그의 리소스 이름입니다.
    type: string
    검증:
      allowContains: ['cloudaudit.googleapis.com%2Faccess_transparency']
  - 이름: severity
    설명: 로그 항목의 심각도입니다. 기본값은 LogSeverity.DEFAULT입니다.
    type: string
  - 이름: insertId
    설명: 로그 항목의 고유 식별자입니다.
    type: string
  - 이름: resource
    설명: 이 로그 항목을 생성한 모니터링된 리소스입니다.
    type: object
    필드:
      - 이름: type
        required: true
        설명: 이 로그 항목을 생성한 리소스의 유형
        type: string
      - 이름: labels
        설명: 리소스를 설명하는 라벨
        유형: json
  - 이름: timestamp
    설명: 로그 항목에 설명된 이벤트가 발생한 시간입니다.
    type: timestamp
    timeFormats:
      - rfc3339
    isEventTime: true
  - 이름: receiveTimestamp
    설명: 로그 항목이 Logging에 수신된 시간입니다.
    type: timestamp
    timeFormats:
      - rfc3339
    isEventTime: true
  - 이름: labels
    설명: 로그 항목에 대한 추가 정보를 제공하는 사용자 정의 (키, 값) 데이터 집합입니다.
    유형: json
  - 이름: operation
    설명: 해당되는 경우 로그 항목과 연관된 작업에 대한 정보입니다.
    type: object
    필드:
      - 이름: id
        설명: 동일한 식별자를 가진 로그 항목은 동일한 작업의 일부로 간주됩니다.
        type: string
      - 이름: producer
        설명: 임의의 생산자 식별자입니다. id와 producer의 조합은 전역적으로 고유해야 합니다.
        type: string
      - 이름: first
        설명: 이것은 작업의 첫 번째 항목입니다
        유형: boolean
      - 이름: last
        설명: 이것은 작업의 마지막 항목입니다
        유형: boolean
  - 이름: trace
    설명: 해당되는 경우 로그 항목과 연관된 트레이스의 리소스 이름입니다. trace 필드는 로그와 트레이스 간의 연결을 제공합니다.
    type: string
  - 이름: spanId
    설명: 로그 항목과 연관된 트레이스 내의 스팬 ID입니다.
    type: string
  - 이름: traceSampled
    설명: 로그 항목과 연관된 트레이스의 샘플링 결정입니다.
    유형: boolean
  - 이름: sourceLocation
    설명: 해당되는 경우 로그 항목과 연관된 소스 코드 위치 정보입니다.
    type: object
    필드:
      - 이름: file
        설명: 소스 파일 이름입니다. 런타임 환경에 따라 간단한 이름이거나 전체 경로일 수 있습니다.
        type: string
      - 이름: line
        설명: 소스 파일 내의 줄 번호입니다. 1부터 시작하며, 0은 줄 번호가 없음을 나타냅니다.
        type: bigint
      - 이름: function
        설명: 호출되는 함수나 메서드의 사람이 읽을 수 있는 이름으로 선택적 컨텍스트(클래스나 패키지 이름 등)를 포함할 수 있습니다. 형식은 언어에 따라 다를 수 있습니다
        type: string
  - 이름: jsonPayload
    required: true
    설명: Access Transparency 로그 페이로드
    type: object
    필드:
      - 이름: at_sign_type
        required: true
        설명: 페이로드 유형으로, type.googleapis.com/google.cloud.audit.TransparencyLog 여야 합니다
        이름 변경:
          원본: '@type'
        type: string
      - 이름: location
        설명: 액세서에 대한 지리적 데이터
        type: object
        필드:
          - 이름: principalOfficeCountry
            설명: Google 직원의 상주 데스크 위치에 대한 ISO 3166-1 alpha-2 국가 코드
            type: string
          - 이름: principalEmployingEntity
            설명: Google 직원의 고용주(예: Google LLC)
            type: string
          - 이름: principalPhysicalLocationCountry
            설명: 액세스가 발생한 실제 위치의 ISO 3166-1 alpha-2 국가 코드
            type: string
      - 이름: principalJobTitle
        설명: 자원에 액세스한 Google 직원의 직무 분류(예: 엔지니어링, 지원)
        type: string
      - 이름: product
        설명: 액세스된 GCP 서비스 목록
        type: array
        element:
          type: string
      - 이름: reason
        설명: 액세스에 대한 정당화 세부사항
        type: array
        element:
          type: object
          필드:
            - 이름: type
              설명: 정당화 분류(예: CUSTOMER_INITIATED_SUPPORT, GOOGLE_INITIATED_SERVICE, GOOGLE_INITIATED_REVIEW, THIRD_PARTY_DATA_REQUEST, GOOGLE_RESPONSE_TO_PRODUCTION_ALERT)
              type: string
            - 이름: detail
              설명: 특정 정당화 텍스트(예: 케이스 번호, 티켓 참조)
              type: string
      - 이름: permissionDetails
        설명: 액세스에 대한 IAM 권한 정보
        type: array
        element:
          type: object
          필드:
            - 이름: permissionType
              설명: 최대 IAM 권한 범주(admin_read, admin_write, data_read, data_write)
              type: string
            - 이름: logAccessed
              설명: 액세스가 로그 데이터로만 제한되었는지 여부를 나타내는 불리언
              유형: boolean
      - 이름: eventId
        설명: 이 액세스 정당화에 대한 고유 이벤트 식별자
        type: string
      - 이름: accesses
        설명: Google 직원이 수행한 특정 작업
        type: array
        element:
          type: object
          필드:
            - 이름: methodName
              설명: 작업 유형(표준 API 메서드, 사용자 정의 메서드 또는 GoogleInternal 메서드)
              type: string
            - 이름: resourceName
              설명: 액세스된 전체 리소스 식별자(예: //googleapis.com/storage/buckets/BUCKET_NAME/objects/OBJECT_NAME)
              type: string
      - 이름: accessApprovals
        설명: 이 액세스와 연관된 Access Approval 요청 리소스 이름 목록
        type: array
        element:
          type: string

GCP.AuditLog

GCP.AuditLog 스키마는 네 가지 유형의 Google Cloud 감사 로그를 모두 수집하는 것을 지원합니다:

자세한 내용은 Cloud Audit Logs에 대한 GCP 문서.

스키마: GCP.AuditLog
설명: |
    Cloud Audit Logs는 각 Google Cloud 프로젝트, 폴더 및 조직에 대해 관리자 활동, 데이터 액세스, 시스템 이벤트 및 정책 거부 감사 로그를 유지합니다.
    Google Cloud 서비스는 이러한 로그에 감사 로그 항목을 기록하여 Google Cloud 리소스 내에서 "누가, 무엇을, 어디서, 언제" 했는지를 파악하는 데 도움을 줍니다.
참고 URL: https://cloud.google.com/logging/docs/audit
필드:
    - 이름: logName
      required: true
      설명: 이 로그 항목이 속한 로그의 리소스 이름입니다.
      type: string
    - 이름: severity
      설명: 로그 항목의 심각도입니다. 기본값은 LogSeverity.DEFAULT입니다.
      type: string
    - 이름: insertId
      설명: 로그 항목의 고유 식별자입니다.
      type: string
    - 이름: resource
      설명: 이 로그 항목을 생성한 모니터링된 리소스입니다.
      type: object
      필드:
        - 이름: type
          required: true
          설명: 이 로그 항목을 생성한 리소스의 유형
          type: string
        - 이름: labels
          설명: 리소스를 설명하는 라벨
          유형: json
    - 이름: timestamp
      설명: 로그 항목에 설명된 이벤트가 발생한 시간입니다.
      type: timestamp
      timeFormats:
        - rfc3339
      isEventTime: true
    - 이름: receiveTimestamp
      required: true
      설명: 로그 항목이 Logging에 수신된 시간입니다.
      type: timestamp
      timeFormats:
        - rfc3339
      isEventTime: true
    - 이름: labels
      설명: 로그 항목에 대한 추가 정보를 제공하는 사용자 정의 (키, 값) 데이터 집합입니다.
      유형: json
    - 이름: operation
      설명: 해당되는 경우 로그 항목과 연관된 작업에 대한 정보입니다.
      type: object
      필드:
        - 이름: id
          설명: 동일한 식별자를 가진 로그 항목은 동일한 작업의 일부로 간주됩니다.
          type: string
        - 이름: producer
          설명: 임의의 생산자 식별자입니다. id와 producer의 조합은 전역적으로 고유해야 합니다.
          type: string
        - 이름: first
          설명: 이것은 작업의 첫 번째 항목입니다
          유형: boolean
        - 이름: last
          설명: 이것은 작업의 마지막 항목입니다
          유형: boolean
    - 이름: trace
      설명: 해당되는 경우 로그 항목과 연관된 트레이스의 리소스 이름입니다. trace 필드는 로그와 트레이스 간의 연결을 제공합니다.
      type: string
    - 이름: httpRequest
      설명: 해당되는 경우 이 로그 항목과 연관된 HTTP 요청에 대한 정보입니다.
      type: object
      필드:
        - 이름: requestMethod
          설명: 요청의 HTTP 메서드입니다.
          type: string
        - 이름: requestURL
          설명: 요청된 URL의 스킴(http, https), 호스트 이름, 경로 및 쿼리 부분입니다.
          type: string
          지표:
            - url
        - 이름: requestSize
          설명: 요청 헤더와 요청 본문을 포함한 HTTP 요청 메시지의 바이트 단위 크기입니다.
          type: bigint
        - 이름: status
          설명: 응답 HTTP 상태 코드
          유형: smallint
        - 이름: responseSize
          설명: 응답 헤더와 응답 본문을 포함하여 클라이언트에게 전송된 HTTP 응답 메시지의 바이트 단위 크기입니다.
          type: bigint
        - 이름: userAgent
          설명: 클라이언트가 보낸 사용자 에이전트입니다.
          type: string
        - 이름: remoteIP
          설명: HTTP 요청을 보낸 클라이언트의 IP 주소(IPv4 또는 IPv6)입니다.
          type: string
          지표:
            - ip
        - 이름: serverIP
          설명: 요청이 전송된 원본 서버의 IP 주소(IPv4 또는 IPv6)입니다.
          type: string
          지표:
            - ip
        - 이름: referer
          설명: 요청의 참조자(URL)
          type: string
          지표:
            - url
        - 이름: latency
          설명: 요청이 수신된 시점부터 응답이 전송될 때까지 서버에서의 요청 처리 지연(초)입니다.
          type: string
        - 이름: cacheLookup
          설명: 캐시 조회가 시도되었는지 여부입니다.
          유형: boolean
        - 이름: cacheHit
          설명: 엔터티가 캐시에서(검증 여부와 관계없이) 제공되었는지 여부입니다.
          유형: boolean
        - 이름: cacheValidatedWithOriginServer
          설명: 엔터티가 캐시에서(검증 여부와 관계없이) 제공되었는지 여부입니다.
          유형: boolean
        - 이름: cacheFillBytes
          설명: 엔터티가 캐시에서(검증 여부와 관계없이) 제공되었는지 여부입니다.
          type: bigint
        - 이름: protocol
          설명: 요청에 사용된 프로토콜입니다.
          type: string
    - 이름: spanId
      설명: 로그 항목과 연관된 트레이스 내의 스팬 ID입니다.
      type: string
    - 이름: traceSampled
      설명: 로그 항목과 연관된 트레이스의 샘플링 결정입니다.
      유형: boolean
    - 이름: sourceLocation
      설명: 해당되는 경우 로그 항목과 연관된 소스 코드 위치 정보입니다.
      type: object
      필드:
        - 이름: file
          설명: 소스 파일 이름입니다. 런타임 환경에 따라 간단한 이름이거나 전체 경로일 수 있습니다.
          type: string
        - 이름: line
          설명: 소스 파일 내의 줄 번호입니다. 1부터 시작하며, 0은 줄 번호가 없음을 나타냅니다.
          type: bigint
        - 이름: function
          설명: 호출되는 함수나 메서드의 사람이 읽을 수 있는 이름으로 선택적 컨텍스트(클래스나 패키지 이름 등)를 포함할 수 있습니다. 형식은 언어에 따라 다를 수 있습니다
          type: string
    - 이름: protoPayload
      required: true
      설명: AuditLog 페이로드
      type: object
      필드:
        - 이름: '@type'
          required: true
          설명: 페이로드의 유형
          type: string
        - 이름: serviceName
          설명: 작업을 수행하는 API 서비스의 이름
          type: string
        - 이름: methodName
          설명: 서비스 메서드 또는 작업의 이름입니다. API 호출의 경우, 이것은 API 메서드의 이름이어야 합니다.
          type: string
        - 이름: resourceName
          설명: 작업의 대상인 리소스 또는 컬렉션입니다. 이름은 API 서비스 이름을 포함하지 않는 스킴 없는 URI입니다.
          type: string
        - 이름: numResponseItems
          설명: 해당되는 경우 List 또는 Query API 메서드에서 반환된 항목 수입니다.
          type: bigint
        - 이름: status
          설명: 전체 작업의 상태입니다.
          type: object
          필드:
            - 이름: code
              설명: 상태 코드로, google.rpc.Code의 열거형 값이어야 합니다.
              유형: int
            - name: message
              설명: 개발자용 오류 메시지로, 영어로 작성되어야 합니다.
              type: string
            - 이름: details
              설명: 오류 세부 정보를 담는 메시지 목록입니다. API에서 사용할 수 있는 공통 메시지 유형 세트가 있습니다.
              유형: json
        - 이름: authenticationInfo
          설명: 인증 정보입니다.
          type: object
          필드:
            - 이름: principalSubject
              설명: 요청 당사자의 신원에 대한 문자열 표현입니다. 1자 및 3자 신원 모두에 대해 채워집니다.
              type: string
            - 이름: serviceAccountKeyName
              설명: 요청을 수행하는 서비스 계정을 인증하기 위해 자격 증명을 생성하거나 교환하는 데 사용된 서비스 계정 키의 이름입니다. 이는 스킴 없는 전체 리소스 이름 URI입니다.
              type: string
              지표:
                - 도메인
            - 이름: principalEmail
              설명: 요청을 수행하는 인증된 사용자의 이메일 주소입니다.
              type: string
              지표:
                - 이메일
            - 이름: authoritySelector
              설명: 요청자가 지정한 권한 선택기(있는 경우)입니다. 주체가 이 권한을 사용할 수 있었는지는 보장되지 않습니다.
              type: string
            - 이름: thirdPartyPrincipal
              설명: 요청을 수행하는 인증된 사용자의 제3자 식별(있는 경우)입니다. 여기에 표현된 JSON 객체가 프로토(proto) 동등체를 가지면, @type 속성에 프로토 이름이 표시됩니다.
              유형: json
            - 이름: serviceAccountDelegationInfo
              설명: 요청을 수행하는 인증된 서비스 계정의 신원 위임 이력입니다. 이는 서비스 계정을 통해 GCP 리소스에 액세스하려는 실제 권한들에 대한 정보를 포함합니다. 여러 권한이 있는 경우, 신원 위임 이벤트의 원래 순서를 기반으로 정렬됩니다.
              type: array
              element:
                type: object
                필드:
                    - 이름: firstPartyPrincipal
                      설명: 실제 권한으로서의 1자(Google) 신원입니다.
                      type: object
                      필드:
                        - 이름: principalEmail
                          설명: Google 계정의 이메일 주소입니다.
                          type: string
                          지표:
                            - 이메일
                        - 이름: serviceMetadata
                          설명: 서비스 계정을 사용하는 서비스에 대한 메타데이터입니다.
                          유형: json
                    - 이름: thirdPartyPrincipal
                      설명: 실제 권한으로서의 제3자 신원입니다.
                      type: object
                      필드:
                        - 이름: thirdPartyClaims
                          설명: 제3자 신원에 대한 메타데이터입니다.
                          유형: json
                    - 이름: principalSubject
                      설명: 요청 당사자의 신원에 대한 문자열 표현입니다.
                      type: string
        - 이름: authorizationInfo
          설명: 권한 부여 정보입니다. 여러 리소스 또는 권한이 관련된 경우 각 {resource, permission} 튜플마다 하나의 AuthorizationInfo 요소가 있습니다.
          type: array
          element:
            type: object
            필드:
                - 이름: resource
                  설명: REST 스타일 문자열로 표현된 액세스되는 리소스입니다.
                  type: string
                - 이름: permission
                  설명: 필요한 IAM 권한
                  type: string
                - 이름: granted
                  설명: 리소스 및 권한에 대한 권한이 부여되었는지 여부입니다.
                  유형: boolean
                - 이름: resourceAttributes
                  설명: IAM 조건 평가에 사용되는 리소스 속성입니다. 이 필드는 리소스 유형 및 리소스 이름과 같은 리소스 속성을 포함합니다. IAM 조건 평가에 사용되는 속성의 전체 보기를 얻으려면 AuditLog.request_metadata.request_attributes도 확인해야 합니다.
                  type: object
                  필드:
                    - 이름: service
                      설명: 이 리소스가 속한 서비스의 이름(예: pubsub.googleapis.com)입니다. 서비스는 실제로 요청을 제공하는 DNS 호스트 이름과 다를 수 있습니다.
                      type: string
                    - 이름: name
                      설명: 서비스에서 리소스의 안정적인 식별자(이름)입니다.
                      type: string
                    - 이름: type
                      설명: 리소스 유형입니다. 구문은 플랫폼별입니다. 플랫폼마다 리소스를 다르게 정의하기 때문입니다.
                      type: string
                    - 이름: labels
                      설명: AWS 리소스 태그 및 Kubernetes 리소스 라벨과 같은 리소스의 라벨 또는 태그입니다.
                      type: string
                    - 이름: uid
                      설명: 리소스의 고유 식별자입니다. UID는 서비스 범위 내에서 이 리소스에 대해 시간과 공간에서 고유합니다. 일반적으로 리소스가 성공적으로 생성될 때 서버에서 생성되며 변경해서는 안 됩니다. UID는 리소스 이름 재사용이 있는 경우 리소스를 고유하게 식별하는 데 사용됩니다. 이는 UUID4여야 합니다.
                      type: string
        - 이름: requestMetadata
          설명: 요청에 대한 메타데이터
          type: object
          필드:
            - 이름: callerIP
              설명: 호출자의 IP 주소입니다.
              type: string
              지표:
                - ip
            - 이름: callerSuppliedUserAgent
              설명: 호출자가 제공한 사용자 에이전트입니다. 이 정보는 인증되지 않았으므로 적절히 처리되어야 합니다.
              type: string
            - 이름: callerNetwork
              설명: 호출자의 네트워크입니다. 네트워크 호스트 프로젝트가 액세스된 리소스와 동일한 GCP 조직(또는 프로젝트)의 일부인 경우에만 설정됩니다.
              type: string
            - 이름: requestAttributes
              설명: IAM 조건 평가에 사용되는 요청 속성입니다. 이 필드는 요청 시간 및 요청과 연관된 접근 수준과 같은 요청 속성을 포함합니다.
              유형: json
            - 이름: destinationAttributes
              설명: TCP 연결 수락과 같은 네트워크 활동의 목적지입니다.
              유형: json
        - 이름: request
          설명: 작업 요청입니다. 너무 크거나 개인정보(프라이버시) 민감하거나 로그 레코드의 다른 곳에 중복된 매개변수와 같은 모든 요청 매개변수를 포함하지 않을 수 있습니다. 여기에 표현된 JSON 객체가 프로토 동등체를 가지면 @type 속성에 프로토 이름이 표시됩니다.
          유형: json
        - 이름: response
          설명: 작업 응답입니다. 너무 크거나 개인정보 민감하거나 로그 레코드의 다른 곳에 중복된 응답 매개변수와 같은 모든 응답 매개변수를 포함하지 않을 수 있습니다. 여기에 표현된 JSON 객체가 프로토 동등체를 가지면 @type 속성에 프로토 이름이 표시됩니다.
          유형: json
        - 이름: metadata
          설명: 현재 감사된 이벤트와 연관된 요청, 응답 및 기타 정보에 대한 기타 서비스별 데이터입니다.
          유형: json
        - 이름: serviceData
          설명: 요청, 응답 및 기타 활동에 대한 기타 서비스별 데이터입니다.
          유형: json

GCP.DNS

Google Cloud DNS 쿼리 로그에는 Cloud DNS 영역이 수신하는 DNS 쿼리에 대한 자세한 정보가 포함됩니다. 이러한 로그는 쿼리 이름, 출발지 및 목적지 IP 주소, 프로토콜 정보 등을 캡처하여 DNS 활동을 모니터링하고 DNS 관련 문제를 해결하는 데 도움이 됩니다.

자세한 내용은 DNS 쿼리 로깅에 대한 GCP 문서.

스키마: GCP.DNS
설명: Google Cloud DNS 쿼리 로그에는 Cloud DNS 영역이 수신하는 DNS 쿼리에 대한 자세한 정보가 포함됩니다.
참고 URL: https://cloud.google.com/dns/docs/monitoring
필드:
  - 이름: alias_query_response_code
    type: string
  - 이름: egressError
    type: string
  - 이름: healthyIps
    type: string
  - 이름: unHealthyIps
    type: string
  - 이름: insertId
    required: true
    type: string
  - 이름: jsonPayload
    required: true
    type: object
    필드:
      - 이름: authAnswer
        유형: boolean
      - 이름: dns64Translated
        유형: boolean
        설명: 응답이 DNS64를 사용하여 IPv4 주소에서 IPv6 주소로 변환되었는지 여부를 나타냅니다
      - 이름: serverLatency
        type: float
      - 이름: queryName
        type: string
        지표:
          - 도메인
      - 이름: vmProjectId
        type: string
      - 이름: vmZoneName
        type: string
      - 이름: vmInstanceName
        type: string
      - 이름: vmInstanceId
        type: float
        설명: 숫자형 VM 인스턴스 ID입니다. 매우 큰 값의 경우 부동 소수점 표현으로 인해 정밀도가 손실될 수 있습니다. 정확한 값은 vmInstanceIdString을 사용하십시오.
      - 이름: vmInstanceIdString
        type: string
        설명: 전체 정밀도로 VM 인스턴스 ID의 문자열 표현
      - 이름: responseCode
        type: string
      - 이름: destinationIP
        type: string
        지표:
          - ip
      - 이름: protocol
        type: string
      - 이름: structuredRdata
        type: array
        element:
          type: object
          필드:
            - 이름: class
              type: string
            - 이름: ttl
              type: string
            - 이름: domainName
              type: string
              지표:
                - 도메인
            - 이름: rvalue
              type: string
            - 이름: type
              type: string
      - 이름: queryType
        type: string
      - 이름: sourceIP
        type: string
        지표:
          - ip
      - 이름: sourceNetwork
        type: string
      - 이름: egressIP
        type: string
        지표:
          - ip
      - 이름: rdata
        유형: json
        설명: 다양한 형식의 DNS 응답 데이터입니다. DNS 레코드 필드가 있는 객체일 수 있고, NXDOMAIN 응답의 경우 빈 문자열이거나 완전히 생략될 수 있습니다.
  - 이름: resource
    required: true
    type: object
    필드:
      - 이름: type
        required: true
        type: string
      - 이름: labels
        type: object
        필드:
          - 이름: target_type
            type: string
          - 이름: location
            type: string
          - 이름: source_type
            type: string
          - 이름: project_id
            type: string
          - 이름: target_name
            type: string
  - 이름: timestamp
    type: timestamp
    timeFormats:
      - rfc3339
    isEventTime: true
  - 이름: severity
    required: true
    type: string
  - 이름: logName
    required: true
    type: string
    검증:
      allowContains: ['dns.googleapis.com%2Fdns_queries']
  - 이름: receiveTimestamp
    required: true
    type: timestamp
    timeFormats:
      - rfc3339

GCP.Firewall

Google Cloud VPC 방화벽 규칙 로깅을 사용하면 방화벽 규칙의 효과를 감사, 검증 및 분석할 수 있습니다. 이러한 로그는 방화벽 규칙과 일치하는 네트워크 연결에 대한 정보를 캡처합니다.

자세한 내용은 VPC 방화벽 규칙 로깅에 대한 GCP 문서.

스키마: GCP.Firewall
설명: Google Cloud VPC 방화벽 규칙 로깅을 사용하면 방화벽 규칙의 효과를 감사, 검증 및 분석할 수 있습니다.
참고 URL: https://cloud.google.com/vpc/docs/firewall-rules-logging
필드:
  - 이름: insertId
    required: true
    type: string
  - 이름: jsonPayload
    required: true
    type: object
    필드:
      - 이름: connection
        type: object
        필드:
          - 이름: dest_ip
            type: string
            지표:
              - ip
          - 이름: dest_port
            type: bigint
          - 이름: protocol
            type: bigint
          - 이름: src_ip
            type: string
            지표:
              - ip
          - 이름: src_port
            type: bigint
      - 이름: disposition
        type: string
      - 이름: instance
        type: object
        필드:
          - 이름: project_id
            type: string
          - 이름: region
            type: string
          - 이름: vm_name
            type: string
          - 이름: zone
            type: string
      - 이름: remote_instance
        type: object
        필드:
          - 이름: project_id
            type: string
          - 이름: region
            type: string
          - 이름: vm_name
            type: string
          - 이름: zone
            type: string
      - 이름: remote_location
        type: object
        필드:
          - 이름: city
            type: string
          - 이름: continent
            type: string
          - 이름: country
            type: string
          - 이름: region
            type: string
      - 이름: remote_vpc
        type: object
        필드:
          - 이름: project_id
            type: string
          - 이름: subnetwork_name
            type: string
          - 이름: vpc_name
            type: string
      - 이름: rule_details
        type: object
        필드:
          - 이름: action
            type: string
          - 이름: destination_address_groups
            type: array
            element:
              type: string
          - 이름: destination_fqdn
            type: array
            element:
              type: string
              지표:
                - 도메인
          - 이름: destination_range
            type: array
            element:
              type: string
          - 이름: destination_region_code
            type: array
            element:
              type: string
          - 이름: destination_threat_intelligence
            type: array
            element:
              type: string
          - 이름: direction
            type: string
          - 이름: ip_port_info
            type: array
            element:
              type: object
              필드:
                - 이름: ip_protocol
                  type: string
                - 이름: port_range
                  type: array
                  element:
                    type: string
          - 이름: priority
            type: bigint
          - 이름: reference
            type: string
          - 이름: source_address_groups
            type: array
            element:
              type: string
          - 이름: source_fqdn
            type: array
            element:
              type: string
              지표:
                - 도메인
          - 이름: source_range
            type: array
            element:
              type: string
          - 이름: source_region_code
            type: array
            element:
              type: string
          - 이름: source_service_account
            type: array
            element:
              type: string
          - 이름: source_tag
            type: array
            element:
              type: string
          - 이름: source_threat_intelligence
            type: array
            element:
              type: string
          - 이름: target_service_account
            type: array
            element:
              type: string
          - 이름: target_tag
            type: array
            element:
              type: string
      - 이름: vpc
        type: object
        필드:
          - 이름: project_id
            type: string
          - 이름: subnetwork_name
            type: string
          - 이름: vpc_name
            type: string
  - 이름: logName
    required: true
    type: string
    검증:
      allowContains: ['compute.googleapis.com%2Ffirewall']
  - 이름: receiveTimestamp
    required: true
    type: timestamp
    timeFormats:
      - rfc3339
  - 이름: resource
    required: true
    type: object
    필드:
      - 이름: labels
        type: object
        필드:
          - 이름: firewall_rule_id
            type: string
          - 이름: location
            type: string
          - 이름: project_id
            type: string
          - 이름: subnetwork_id
            type: string
          - 이름: subnetwork_name
            type: string
      - 이름: type
        required: true
        type: string
  - 이름: timestamp
    type: timestamp
    timeFormats:
      - rfc3339
    isEventTime: true

GCP.HTTPLoadBalancer

외부 HTTP(S) 로드 밸런싱은 Compute Engine, Google Kubernetes Engine(GKE), Cloud Storage 등 다양한 Google Cloud 플랫폼에 호스팅된 백엔드와 인터넷 또는 하이브리드 연결을 통해 연결된 외부 백엔드로 HTTP 및 HTTPS 트래픽을 분산합니다. HTTP(S) 로드 밸런싱 로그는 웹 트래픽 모니터링 및 디버깅에 필요한 정보를 제공합니다.

자세한 내용은 HTTPLoadBalancer 문서.

스키마: GCP.HTTPLoadBalancer
파서:
  네이티브:
    이름: GCP.HTTPLoadBalancer
필드:
  - 이름: httpRequest
    required: true
    설명: httpRequest
    type: object
    필드:
      - 이름: referer
        설명: referer
        type: string
        지표:
          - url
      - 이름: latency
        required: true
        설명: latency
        type: string
      - 이름: remoteIp
        required: true
        설명: remoteIp
        type: string
        지표:
          - ip
      - 이름: requestMethod
        required: true
        설명: requestMethod
        type: string
      - 이름: requestSize
        required: true
        설명: requestSize
        type: bigint
      - 이름: requestUrl
        required: true
        설명: requestUrl
        type: string
        지표:
          - url
      - 이름: responseSize
        설명: responseSize
        type: bigint
      - 이름: serverIp
        설명: serverIp
        type: string
        지표:
          - ip
      - 이름: status
        설명: status
        type: bigint
      - 이름: userAgent
        설명: userAgent
        type: string
  - 이름: insertId
    required: true
    설명: insertId
    type: string
  - 이름: jsonPayload
    required: true
    설명: jsonPayload
    유형: json
  - 이름: logName
    required: true
    설명: logName
    type: string
  - 이름: receiveTimestamp
    required: true
    설명: receiveTimestamp
    type: timestamp
    시간 형식: rfc3339
  - 이름: resource
    required: true
    설명: resource
    type: object
    필드:
      - 이름: labels
        required: true
        설명: labels
        type: object
        필드:
          - 이름: backend_service_name
            required: true
            설명: backend_service_name
            type: string
          - 이름: forwarding_rule_name
            required: true
            설명: forwarding_rule_name
            type: string
          - 이름: project_id
            required: true
            설명: project_id
            type: string
          - 이름: target_proxy_name
            required: true
            설명: target_proxy_name
            type: string
          - 이름: url_map_name
            required: true
            설명: url_map_name
            type: string
          - 이름: zone
            required: true
            설명: zone
            type: string
      - 이름: type
        required: true
        설명: 유형
        type: string
  - 이름: severity
    required: true
    설명: 심각도
    type: string
  - 이름: spanId
    required: true
    설명: 스팬 ID
    type: string
  - 이름: timestamp
    required: true
    설명: 타임스탬프
    type: timestamp
    시간 형식: rfc3339
    isEventTime: true
  - 이름: trace
    required: true
    설명: 트레이스
    type: string
    지표:
      - trace_id

이전Fluentd 로그 다음GitHub 로그

마지막 업데이트 1개월 전

도움이 되었나요?

hashtag개요

hashtagGCP 로그를 Panther에 온보딩하는 방법

hashtag전제 조건

hashtag1단계: Panther에서 Google Cloud 소스 생성

hashtagPub/Sub 소스 지침을 따르십시오

hashtagGCP 통합에서 로그 제외

hashtagPanther 관리 디텍션

hashtag지원되는 로그 유형

hashtagGCP.AccessTransparency

hashtagGCP.AuditLog

hashtagGCP.DNS

hashtagGCP.Firewall

hashtagGCP.HTTPLoadBalancer

개요

GCP 로그를 Panther에 온보딩하는 방법

전제 조건

1단계: Panther에서 Google Cloud 소스 생성

Pub/Sub 소스 지침을 따르십시오

GCP 통합에서 로그 제외

Panther 관리 디텍션

지원되는 로그 유형

GCP.AccessTransparency

GCP.AuditLog

GCP.DNS

GCP.Firewall

GCP.HTTPLoadBalancer