# Jamf Pro 로그 ## 개요 Panther는 Amazon Web Services(AWS) S3를 통해 Jamf Pro 로그를 수집하는 것을 지원합니다. [데이터 전송](https://docs.panther.com/ko/data-onboarding/data-transports). {% hint style="info" %} A [Jamf 프리미엄 클라우드 애드온](https://www.jamf.com/resources/product-documentation/jamf-premium-cloud/) Jamf Pro 로그를 Panther에 연결하려면 필요합니다. {% endhint %} ## Jamf Pro 로그를 Panther에 온보딩하는 방법 이 로그를 Panther에 연결하려면: 1. Panther 콘솔의 왼쪽 탐색 창에서 **구성 > 로그 소스**. 2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기**. 3. “Jamf Pro”를 검색한 다음 해당 타일을 클릭합니다. * 슬라이드 아웃 패널에서 **전송 메커니즘** 우측 상단의 드롭다운은 미리 채워진 상태일 것입니다 **AWS S3 버킷** 옵션. 4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정 시작**. 5. 다음을 따르세요 [S3 소스를 구성하는 Panther 문서](https://docs.panther.com/ko/data-onboarding/data-transports/aws/s3). 6. JAMF Pro를 구성하여 로그를 Data Transport 소스로 푸시합니다. * 참조 [JAMF 문서](https://learn.jamf.com/bundle/technical-articles/page/Jamf_Cloud_Overview_and_FAQ.html) Panther가 읽을 수 있는 S3 버킷으로 로그를 푸시하는 방법에 대한 지침입니다. ## 지원되는 로그 유형 ### Jamfpro.Login Jamf Pro 자체로의 로그인 이벤트. 참고: [이벤트 로그에 대한 Jamf 문서](https://docs.jamf.com/10.35.0/jamf-pro/documentation/Event_Logs.html). ```yaml 필드: - 이름: ipAddress type: string 설명: 요청을 시작한 IP 주소 지표: - ip - 이름: username required: true 설명: 계정의 사용자 이름 지표: - username type: string - 이름: status required: true type: string 설명: 로그인 요청의 상태 - name: entryPoint required: true type: string 설명: 로그인에 사용된 방법. Single Sign On, Universal API 또는 Unknown 중 하나 - 이름: timestamp required: true type: timestamp 설명: 로그인 타임스탬프 isEventTime: true timeFormat: '%Y-%m-%dT%H:%M:%S,%f' ``` ### Jamfpro.ComplianceReporter 이들은 Jamf Compliance Reporter 모니터링 도구의 이벤트 로그입니다. 자세한 내용은 [Jamf Compliance Reporter 문서](https://learn.jamf.com/bundle/compliance-reporter-documentation/page/Log_Data_Examples.html). ```yaml 필드: - name: _event_score required: true 설명: 이벤트의 점수. type: bigint - name: app_metric_info 설명: 애플리케이션 메트릭 정보. 앱 메트릭 이벤트에만 존재합니다. type: object 필드: - name: cpu_percentage 설명: 애플리케이션이 사용한 CPU 백분율. type: float - name: cpu_time_seconds 설명: 애플리케이션이 사용한 CPU 시간(초). type: float - name: interrupt_wakeups 설명: 인터럽트 웨이크업 수. type: bigint - name: platform_idle_wakeups 설명: 플랫폼 유휴 웨이크업 수. type: bigint - name: resident_memory_size_mb 설명: 상주 메모리 크기(MB). type: float - name: virtual_memory_size_mb 설명: 가상 메모리 크기(MB). type: float - name: arguments 설명: 이벤트에 전달된 인수. 유형: json - name: attributes 설명: 이벤트와 관련된 속성 또는 메타데이터 유형: json - name: audio_video_device_info type: object 필드: - name: audio_device_creator 설명: 오디오 장치의 제작자. type: string - name: audio_device_hog_mode 설명: 오디오 장치가 hog 모드인지 여부. type: bigint - name: audio_device_id 설명: 오디오 장치의 ID. type: string - name: audio_device_manufacturer 설명: 오디오 장치의 제조업체. type: string - name: audio_device_running 설명: 오디오 장치가 실행 중인지 여부. type: bigint - name: audio_device_uuid 설명: 오디오 장치의 UUID. type: string - name: device_status 설명: 장치의 상태. "On" 또는 "Off". type: string - name: audit_class_verification_info 설명: 감사 클래스 검증 정보. AUDIT_CLASS_VERIFICATION_EVENT 이벤트에만 존재합니다. type: object 필드: - name: contents 설명: 파일의 내용. type: string - name: osversion 설명: 운영체제 버전. type: string - name: restored_default 설명: 파일이 기본값으로 복원되었는지 여부. 유형: boolean - 이름: status 설명: 파일의 상태. 유형: int - name: status_str 설명: 파일 상태의 문자열 표현. type: string - name: compliancereporter_license_info 설명: Compliance Reporter 라이선스 정보. LICENSE_INFO_EVENT 이벤트에만 존재합니다. type: object 필드: - 이름: email type: string 지표: - 이메일 - name: expiration_date type: timestamp timeFormats: - '%M/%d/%Y' - 이름: status type: string - name: time_seconds_epoch type: timestamp timeFormats: - unix - 이름: type type: string - name: version type: string - name: event_attributes 설명: 이벤트와 관련된 추가 속성 또는 메타데이터. 유형: json - name: exec_args 설명: 이벤트에 전달된 실행 인수. type: object 필드: - 이름: args 설명: 순차적으로 나열된 명령줄 인수 값. 유형: json - name: args_compiled 설명: 모든 명령줄 인수의 쉼표로 구분된 목록. type: string - name: exec_chain 설명: 동일한 원래 동작에서 시작된 이벤트의 체인. 유형: json - name: exec_chain_child 설명: 동일한 원래 동작에서 시작된 이벤트 체인의 자식 이벤트. type: object 필드: - 이름: parent_path 설명: 이 이벤트를 직접적으로 유발한 바이너리의 경로. type: string - 이름: parent_pid 설명: 이 이벤트를 직접적으로 유발한 프로세스의 프로세스 ID. type: string - name: parent_uuid 설명: 실행 체인에서 직접 부모의 GUID. 상위 이벤트의 exec_chain_parent.uuid 필드와 연관됩니다. type: string - name: exec_chain_parent 설명: 동일한 원래 동작에서 시작된 이벤트 체인의 상위 이벤트. type: object 필드: - name: uuid 설명: 이 이벤트를 직접적인 부모로 주장하기 위한 자식 프로세스의 GUID. 상위 이벤트의 exec_chain_child.parent.uuid 필드와 연관됩니다. type: string - name: exec_env 설명: 이벤트의 실행 환경. type: object 필드: - name: env 설명: 이벤트 컨텍스트의 환경 변수에 대한 키-값 쌍. 유형: json - name: env_compiled 설명: 이벤트 컨텍스트의 모든 환경 변수의 쉼표로 구분된 목록. type: string - name: exit 설명: 이벤트의 종료 정보. AUE_EXIT 이벤트에만 존재합니다. type: object 필드: - name: return_value 설명: 이벤트의 반환 값. type: bigint - 이름: status 설명: 이벤트의 상태. type: bigint - name: file_event_info 설명: 파일 이벤트 정보. COMPLIANCEREPORTER_TAMPER_EVENT 이벤트에만 존재합니다. type: object 필드: - name: eventid_wrapped 설명: 이벤트 ID가 래핑되었는지 여부. 유형: boolean - 이름: hash 설명: 파일의 SHA1 해시. type: string 지표: - sha1 - name: history_done 설명: 히스토리가 완료되었는지 여부. 유형: boolean - name: item_change_owner 설명: 항목의 소유자가 변경되었는지 여부. 유형: boolean - name: item_cloned 설명: 항목이 복제되었는지 여부. 유형: boolean - name: item_created 설명: 항목이 생성되었는지 여부. 유형: boolean - name: item_extended_attribute_modified 설명: 항목의 확장 속성이 수정되었는지 여부. 유형: boolean - name: item_finder_info_modified 설명: 항목의 Finder 정보가 수정되었는지 여부. 유형: boolean - name: item_inode_metadata_modified 설명: 항목의 inode 메타데이터가 수정되었는지 여부. 유형: boolean - name: item_is_directory 설명: 항목이 디렉터리인지 여부. 유형: boolean - name: item_is_file 설명: 항목이 파일인지 여부. 유형: boolean - name: item_is_hard_link 설명: 항목이 하드 링크인지 여부. 유형: boolean - name: item_is_last_hard_link 설명: 항목이 마지막 하드 링크인지 여부. 유형: boolean - name: item_is_sym_link 설명: 항목이 심볼릭 링크인지 여부. 유형: boolean - name: item_removed 설명: 항목이 제거되었는지 여부. 유형: boolean - name: item_renamed 설명: 항목의 이름이 변경되었는지 여부. 유형: boolean - name: item_updated 설명: 항목이 업데이트되었는지 여부. 유형: boolean - name: kernel_dropped 설명: 커널이 이벤트를 드롭했는지 여부. 유형: boolean - name: mount 설명: 항목이 마운트되었는지 여부. 유형: boolean - name: must_scan_sub_dir 설명: 하위 디렉터리를 스캔해야 하는지 여부. 유형: boolean - name: none 설명: 항목이 수정되지 않았는지 여부. 유형: boolean - name: own_event 설명: 이벤트가 소유되었는지 여부. 유형: boolean - name: path 설명: 파일의 경로. type: string - name: root_changed 설명: 루트가 변경되었는지 여부. 유형: boolean - name: unmount 설명: 항목이 언마운트되었는지 여부. 유형: boolean - name: user_dropped 설명: 사용자가 이벤트를 드롭했는지 여부. 유형: boolean - name: hardware_event_info 설명: 하드웨어 이벤트 정보. HARDWARE_EVENT 이벤트에만 존재합니다. type: object 필드: - name: device_attributes 설명: 장치의 속성. 유형: json - name: device_class 설명: 장치의 클래스. type: string - 이름: device_name 설명: 장치의 이름. type: string - name: device_status 설명: 장치의 상태. type: string - name: header required: true 설명: 이벤트의 헤더 정보. 이 필드는 이벤트 이름, 타임스탬프 및 버전을 포함한 필수 메타데이터를 포함합니다. type: object 필드: - 이름: action 설명: 이벤트를 발생시킨 동작. PROHIBITED_APP_BLOCKED 이벤트에만 존재합니다. type: string - name: event_id 설명: 감사 이벤트 유형을 식별하는 ID. type: string - name: event_modifier 설명: 이벤트에 대한 수정자. 이 필드는 사용되지 않으며 항상 0입니다. type: string - name: event_name required: true 설명: 감사 이벤트 유형의 이름. type: string - name: time_seconds_epoch required: true 설명: 이벤트가 발생한 Unix epoch 시간. type: timestamp timeFormat: unix isEventTime: true - name: time_milliseconds_offset 설명: time_seconds_epoch 필드에 대한 밀리초 오프셋. type: bigint - name: version 설명: 헤더 형식의 버전. type: string - name: host_info required: true 설명: 이벤트가 발생한 호스트에 대한 정보. type: object 필드: - name: host_name 설명: 컴퓨터의 네트워크 호스트 이름. type: string - name: host_uuid 설명: 로직 보드의 하드웨어 UUID. type: string - name: osversion 설명: 운영체제 버전. type: string - name: primary_mac_address 설명: 보고하는 컴퓨터의 기본 MAC 주소. type: string 지표: - mac - 이름: serial_number 설명: 보고하는 컴퓨터의 시리얼 번호. type: string - name: identity 설명: 이벤트에 대한 식별 정보. type: object 필드: - name: cd_hash 설명: 동작을 수행하는 애플리케이션 또는 바이너리의 Cd 번들 해시. type: string 지표: - sha1 - name: signer_id 설명: 동작을 수행하는 애플리케이션 또는 바이너리의 서명자 ID. type: string - name: signer_id_truncated 설명: 서명자 ID가 잘렸는지 여부. 유형: boolean - name: signer_type 설명: 동작을 수행하는 애플리케이션 또는 바이너리의 서명자 유형. 유형: int - name: team_id 설명: 동작을 수행하는 애플리케이션 또는 바이너리의 팀 ID. type: string - name: team_id_truncated 설명: 팀 ID가 잘렸는지 여부. 유형: boolean - name: path 설명: 이벤트와 관련된 파일 경로. type: array element: type: string - name: process 설명: 동작을 수행한 프로세스에 대한 정보. type: object 필드: - name: audit_id 설명: auditd가 이벤트를 귀속시키는 사용자의 ID. type: string 지표: - actor_id - name: audit_user_name 설명: auditd가 이벤트를 귀속시키는 사용자의 이름. type: string 지표: - username - name: effective_group_id 설명: 이벤트가 실행된 그룹 권한의 ID. type: string - name: effective_group_name 설명: 이벤트가 실행된 그룹 권한의 이름. type: string - name: effective_user_id 설명: 이벤트가 실행된 사용자 권한의 ID. type: string 지표: - actor_id - name: effective_user_name 설명: 이벤트가 실행된 사용자 권한의 이름. type: string 지표: - username - 이름: group_id 설명: 이 이벤트를 생성한 그룹의 ID. type: string - 이름: group_name 설명: 이 이벤트를 생성한 그룹의 이름. type: string - 이름: process_hash 설명: 실행된 바이너리 파일의 SHA1 해시. type: string 지표: - sha1 - name: process_id 설명: 기록된 동작을 수행한 프로세스의 ID. type: string - 이름: process_name 설명: 기록된 동작을 수행한 프로세스의 경로. type: string - name: process_information 설명: 동작을 수행한 프로세스에 대한 정보. 유형: json - name: responsible_process_id 설명: 이 이벤트를 생성한 프로세스의 ID. type: string - name: responsible_process_name 설명: 프로세스 체인의 시작 시 이 이벤트를 생성한 프로세스의 이름. type: string - 이름: session_id 설명: 이벤트가 시작된 세션 ID 번호. type: string 지표: - trace_id - name: terminal_id 설명: 이벤트가 시작된 터미널에 대한 정보. type: object 필드: - name: addr 설명: 터미널에 대한 네트워크 주소 정보. type: array element: type: bigint - 이름: ip_address 설명: 제어 컴퓨터의 IP 주소. type: string 지표: - ip index: 0 설명: 프로세스가 연결 중인 포트 번호. type: bigint - 이름: type 설명: 연결 유형(4 = IPv4, 6 = IPv6). type: bigint - name: user_id 설명: 이 이벤트를 생성한 사용자의 ID. type: string 지표: - actor_id - name: user_name 설명: 이 이벤트를 생성한 사용자의 이름. type: string 지표: - username - name: return 설명: 이벤트 출력 정보. type: object 필드: - 이름: description 설명: 이벤트 출력에 대한 설명. type: string - name: error 설명: 이벤트 결과 오류 코드. 유형: int - name: return_value 설명: 반환된 이벤트 결과 반환 값(있을 경우). 유형: int - name: signal_event_info 설명: 시그널 이벤트 정보. SIGNAL_EVENT 이벤트에만 존재합니다. type: object 필드: - name: signal 설명: 시그널 번호. 유형: int - name: socket_inet 설명: 인터넷 소켓 정보. type: object 필드: - name: addr 설명: 소켓에 대한 네트워크 주소 정보. type: array element: type: bigint description: 공급자가 생성한 악성코드 분류(예: trojan, ransomware 등) 설명: 소켓의 주소 패밀리. type: string - 이름: id 설명: 소켓의 ID. type: string - 이름: ip_address 설명: 소켓의 IP 주소. type: string 지표: - ip index: 0 설명: 프로세스가 연결 중인 포트 번호. type: bigint - name: socket_unix 설명: Unix 소켓 정보. type: object 필드: description: 공급자가 생성한 악성코드 분류(예: trojan, ransomware 등) 설명: 소켓의 주소 패밀리. type: string - name: path 설명: 소켓의 경로. type: string - name: subject 설명: 이벤트에 대한 주체 정보. type: object 필드: - name: audit_id 설명: auditd가 이벤트를 귀속시키는 사용자의 ID. type: string 지표: - actor_id - name: audit_user_name 설명: auditd가 이벤트를 귀속시키는 사용자의 이름. type: string 지표: - username - name: effective_group_id 설명: 이벤트가 실행된 그룹 권한의 ID. type: string - name: effective_group_name 설명: 이벤트가 실행된 그룹 권한의 이름. type: string - name: effective_user_id 설명: 이벤트가 실행된 사용자 권한의 ID. type: string 지표: - actor_id - name: effective_user_name 설명: 이벤트가 실행된 사용자 권한의 이름. type: string 지표: - username - 이름: group_id 설명: 이 이벤트를 생성한 그룹의 ID. type: string - 이름: group_name 설명: 이 이벤트를 생성한 그룹의 이름. type: string - 이름: process_hash 설명: 실행된 바이너리 파일의 SHA1 해시. type: string 지표: - sha1 - name: process_id 설명: 기록된 동작을 수행한 프로세스의 ID. type: string - 이름: process_name 설명: 기록된 동작을 수행한 프로세스의 경로. type: string - name: process_information 설명: 동작을 수행한 프로세스에 대한 정보. 유형: json - name: responsible_process_id 설명: 이 이벤트를 생성한 프로세스의 ID. type: string - name: responsible_process_name 설명: 프로세스 체인의 시작 시 이 이벤트를 생성한 프로세스의 이름. type: string - 이름: session_id 설명: 이벤트가 시작된 세션 ID 번호. type: string 지표: - trace_id - name: terminal_id 설명: 이벤트가 시작된 터미널에 대한 정보. type: object 필드: - name: addr 설명: 터미널에 대한 네트워크 주소 정보. type: array element: type: bigint - 이름: ip_address 설명: 제어 컴퓨터의 IP 주소. type: string 지표: - ip index: 0 설명: 프로세스가 연결 중인 포트 번호. type: bigint - 이름: type 설명: 연결 유형(4 = IPv4, 6 = IPv6). type: bigint - name: user_id 설명: 이 이벤트를 생성한 사용자의 ID. type: string 지표: - actor_id - name: user_name 설명: 이 이벤트를 생성한 사용자의 이름. type: string 지표: - username - name: texts 설명: 이벤트에 대한 설명들. type: array element: type: string ```