# Lacework 내보내기 ## 개요 Panther는 일반적인 Lacework 내보내기 로그 수집을 지원합니다 [데이터 전송](/ko/data-onboarding/data-transports.md) 옵션: Amazon Web Services (AWS) S3, Google Cloud Storage (GCS), 및 Azure Blob. 수집에 대한 지침을 찾고 있다면 `Lacework.Events` 로그는 다음을 참조하세요 [Lacework 알러트 채널 Webhook 문서](/ko/data-onboarding/supported-logs/lacework/webhook.md). ## Lacework 내보내기 로그를 Panther에 온보딩하는 방법 이 로그를 Panther에 연결하려면: 1. 왼쪽 탐색 모음에서 Panther Console의 **Configure > Log Sources**. 2. 클릭 **새로 만들기**. 3. "Lacework Export,"를 검색한 다음 해당 타일을 클릭하세요. 4. 에서 **전송 메커니즘** 드롭다운에서 이 통합에 사용하려는 Data Transport 방법을 선택하세요.\ ![After choosing Lacework Export, the slideout tile is displayed. There is a dropdown in the upper right where you can select the Transport Mechanism.](/files/71baba25824e31417b6df1a3bfedb618b9cee8d8) 5. 클릭 **설정 시작**. 6. 선택한 Data Transport 방법을 구성하려면 Panther의 지침을 따르세요: * [AWS S3 버킷](/ko/data-onboarding/data-transports/aws/s3.md) * [Google Cloud Storage (GCS)](https://docs.panther.com/data-onboarding/data-transports/google/cloud-storage) * [Azure Blob](https://docs.panther.com/data-onboarding/data-transports/azure-blob-storage) 7. 로그를 Data Transport 소스로 푸시하도록 Lacework를 구성하세요. * 다음을 참조하세요 [Lacework의 문서](https://docs.lacework.com/console/category/data-shares--export) 선택한 Data Transport 소스로 로그를 푸시하는 방법에 대한 지침입니다. ## 지원되는 로그 유형 ### Lacework.AgentManagement Lacework.AgentManagement는 Lacework 에이전트 관리 정보를 수집합니다. 참조: [AgentManagement에 대한 Lacework 문서](https://docs.lacework.com/console/agentmanagementv-view). ```yaml fields: - name: AGENT_VERSION required: true type: string - name: CREATED_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: HOSTNAME required: true type: string - name: IP_ADDR required: true type: string indicators: - ip - name: LAST_UPDATE 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' - name: MID required: true type: string - name: MODE required: true type: string - name: OS required: true type: string - name: STATUS required: true type: string - name: TAGS 유형: json ``` ### Lacework.AlertDetails Lacework.AlertDetails는 생성된 알러트에 대한 정보를 제공합니다. 참조: [AlertDetails에 대한 Lacework 문서.](https://docs.lacework.com/console/alertdetailsv-view) ```yaml fields: - name: END_TIME required: true 유형: 타임스탬프 timeFormats: - '%a, %d %b %Y %H:%M:%S %z' - '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: ENTITY_MAP required: true type: object fields: - name: NewViolation type: array element: type: object fields: - name: KEY type: object fields: - name: reason type: string - name: reason_id type: string - name: rec_id type: string - name: resource type: string indicators: - aws_arn - name: PROPS 유형: json - name: RecId type: array element: type: object fields: - name: KEY type: object fields: - name: eval_guid type: string - name: rec_id type: string - name: PROPS 유형: json - name: Resource type: array element: type: object fields: - name: KEY type: object fields: - name: name type: string - name: value type: string indicators: - aws_arn - name: ViolationReason type: array element: type: object fields: - name: KEY type: object fields: - name: reason type: string - name: reason_id type: string - name: rec_id type: string - name: PROPS 유형: json - name: EVENT_ACTOR required: true type: string - name: EVENT_ID required: true type: bigint - name: EVENT_MODEL required: true type: string - name: EVENT_TYPE required: true type: string - name: START_TIME required: true 유형: 타임스탬프 timeFormats: - '%a, %d %b %Y %H:%M:%S %z' - '%Y-%m-%d %H:%M:%S.%f' ``` ### Lacework.AllFiles Lacework.AllFiles는 Lacework가 파일을 감지할 때마다 이를 추적합니다. 참조: [AllFiles에 대한 Lacework 문서](https://docs.lacework.com/console/allfilesv-view). ```yaml fields: - name: CREATED_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: FILEDATA_HASH required: true type: string indicators: - sha256 - name: FILE_PATH required: true type: string - name: MID required: true type: string - name: MTIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' - name: SIZE required: true type: bigint ``` ### Lacework.Applications Lacework.Applications에는 에이전트가 설치된 머신에서 실행 중인 애플리케이션 정보와 세부 정보(예: 애플리케이션 이름, 사용자 이름, 머신 등)가 포함됩니다. 참조: [Applications에 대한 Lacework 문서.](https://docs.lacework.com/console/applicationsv-view) ```yaml fields: - name: APP_NAME required: true description: 머신에 설치된 Lacework 에이전트가 감지한 애플리케이션 이름입니다. type: string - name: CONTAINER_INFO description: 컨테이너 정보는 애플리케이션이 실행 중인 컨테이너에 대한 세부 정보를 제공합니다. 유형: json - name: END_TIME required: true description: 시간별 집계 기간이 종료되는 시간과 날짜입니다. 유형: 타임스탬프 timeFormats: - '%a, %d %b %Y %H:%M:%S %z' - '%Y-%m-%d %H:%M:%S.%f' - name: EXE_PATH required: true description: 감지된 애플리케이션의 실행 파일 경로입니다. type: string - name: MID description: 머신을 고유하게 식별하는 Lacework 생성 머신 식별자입니다. type: string - name: NET_STATS description: 네트워크의 수신 및 송신 바이트 수를 포함한 애플리케이션의 네트워크 통계입니다. 유형: json - name: PROPS_MACHINE description: 호스트 이름, IP 주소, 머신 태그 등과 같은 머신 속성입니다. type: object fields: - name: hostname description: hostname type: string indicators: - hostname - name: ip_addr description: ip_addr type: string indicators: - ip - name: mem_kbytes description: mem_kbytes type: bigint - name: num_users description: num_users type: bigint - name: primary_tags description: primary_tags 유형: json - 이름: tags description: tags 유형: json - name: up_time description: up_time type: bigint - name: START_TIME required: true description: 시간별 집계 기간이 시작되는 시간과 날짜입니다. 유형: 타임스탬프 timeFormats: - '%a, %d %b %Y %H:%M:%S %z' - '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: USERNAME description: 머신에서 애플리케이션을 실행하는 사용자 이름입니다. type: object fields: - name: effective description: effective type: string indicators: - 사용자 이름 - name: 원본 description: original type: string indicators: - 사용자 이름 ``` ### Lacework.ChangeFiles Lacework.ChangeFiles는 환경에서 파일이 변경될 때마다 이를 추적합니다. 참조: [ChangeFiles에 대한 Lacework 문서](https://docs.lacework.com/console/changefilesv-view). ```yaml fields: - name: END_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: FILEDATA_HASH required: true type: string indicators: - sha256 - name: FILE_PATH required: true type: string - name: MID required: true type: string - name: MTIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' - name: SIZE required: true type: bigint - name: START_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' ``` ### Lacework.CloudCompliance Lacework.CloudCompliance는 Lacework 클라우드 평가에서 식별된 규정 준수 위반을 추적합니다. 참조: [CloudCompliance에 대한 Lacework 문서.](https://docs.lacework.com/console/cloudcompliancev-view) ```yaml fields: - name: REASON type: string - name: REGION type: string - name: RESOURCE type: string indicators: - aws_arn - name: ACCOUNT required: true type: object fields: - name: AccountId type: string indicators: - aws_account_id - name: Account_Alias type: string - name: EVAL_TYPE required: true type: string - name: ID required: true type: string - name: RECOMMENDATION type: string - name: REPORT_TIME required: true 유형: 타임스탬프 timeFormats: - '%Y-%m-%d %H:%M:%S.%f' - '%a, %d %b %Y %H:%M:%S %z' isEventTime: true - name: SECTION type: string - name: SEVERITY required: true type: string - name: STATUS required: true type: string ``` ### Lacework.CloudConfiguration Lacework.CloudConfiguration에는 지원되고 구성된 클라우드 리소스에 대한 세부 정보가 포함됩니다. 참조: [CloudConfiguration에 대한 Lacework 문서.](https://docs.lacework.com/console/cloudconfigurationv-view) ```yaml fields: - name: START_TIME required: true description: 시간별 집계 기간이 시작되는 시간과 날짜입니다. 유형: 타임스탬프 timeFormats: - '%a, %d %b %Y %H:%M:%S %z' - '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: END_TIME required: true description: 시간별 집계 기간이 종료되는 시간과 날짜입니다. 유형: 타임스탬프 timeFormats: - '%a, %d %b %Y %H:%M:%S %z' - '%Y-%m-%d %H:%M:%S.%f' - name: URN required: true description: 리소스의 URN입니다. type: string indicators: - aws_arn - name: SERVICE description: 리소스가 속한 서비스입니다. type: string - name: STATUS description: 리소스의 상태입니다. 유형: json - name: CLOUD_DETAILS description: 클라우드 세부 정보. 유형: json - name: RESOURCE_TYPE description: 리소스 유형입니다. type: string - name: RESOURCE_ID required: true description: 리소스의 ID입니다. type: string - name: RESOURCE_REGION description: 리소스가 속한 리전입니다. type: string - name: RESOURCE_CONFIG description: 리소스의 구성입니다. 유형: json - name: RESOURCE_TAGS description: 리소스와 연결된 태그입니다. 유형: json - name: CSP description: 클라우드 제공자입니다. type: string - name: API_KEY description: 리소스의 데이터를 가져오는 데 사용된 API를 설명하는 키입니다. type: string ``` ### Lacework.Cmdline Lacework.Cmdline은 환경의 모든 명령줄 호출을 모니터링합니다. 참조: [Cmdline에 대한 Lacework 문서](https://docs.lacework.com/console/cmdlinev-view). ```yaml fields: - name: CMDLINE required: true type: string - name: CMDLINE_HASH required: true type: string indicators: - md5 - name: CREATED_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' isEventTime: true ``` ### Lacework.Connections Lacework.Connections는 환경의 연결을 모니터링합니다. 참조: [Connections에 대한 Lacework 문서](https://docs.lacework.com/console/connectionsv-view). ```yaml fields: - name: DST_ENTITY_ID required: true 유형: json - name: DST_ENTITY_TYPE required: true type: string - name: DST_IN_BYTES required: true type: bigint - name: DST_OUT_BYTES required: true type: bigint - name: ENDPOINT_DETAILS required: true 유형: json - name: END_TIME 유형: 타임스탬프 timeFormats: - '%a, %d %b %Y %H:%M:%S %z' - '%Y-%m-%d %H:%M:%S.%f' - '%Y-%m-%d %H:%M:%S.%f Z' - name: NUM_CONNS type: bigint - name: SRC_ENTITY_ID required: true 유형: json - name: SRC_ENTITY_TYPE required: true type: string - name: SRC_IN_BYTES required: true type: bigint - name: SRC_OUT_BYTES required: true type: bigint - name: START_TIME required: true 유형: 타임스탬프 isEventTime: true timeFormats: - '%a, %d %b %Y %H:%M:%S %z' - '%Y-%m-%d %H:%M:%S.%f' - '%Y-%m-%d %H:%M:%S.%f Z' ``` ### Lacework.ContainerSummary Lacework.ContainerSummary는 환경의 컨테이너를 모니터링합니다. 참조: [ContainerSummary에 대한 Lacework 문서](https://docs.lacework.com/console/containersummaryv-view). ```yaml fields: - name: POD_NAME type: string - name: CONTAINER_NAME required: true type: string - name: END_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: IMAGE_ID required: true type: string - name: MID required: true type: string - name: PROPS_CONTAINER required: true type: object fields: - name: VOLUME_MAP 유형: json - name: POD_IP_ADDR type: string indicators: - ip - name: LISTEN_PORT_MAP 유형: json - name: POD_TYPE type: string - name: PROPS_LABEL 유형: json - name: CONTAINER_START_TIME required: true 유형: 타임스탬프 시간 형식: unix_ms - name: CONTAINER_TYPE required: true type: string - name: IMAGE_AUTHOR required: true type: string - name: IMAGE_CREATED_TIME required: true 유형: 타임스탬프 시간 형식: unix_ms - name: IMAGE_ID required: true type: string - name: IMAGE_PARENT_ID required: true type: string - name: IMAGE_REPO required: true type: string - name: IMAGE_SIZE required: true type: bigint - name: IMAGE_TAG required: true type: string - name: IMAGE_VERSION required: true type: string - name: IMAGE_VIRTUAL_SIZE required: true type: bigint - name: IPV4 required: true type: string indicators: - ip - name: NAME required: true type: string - name: NETWORK_MODE required: true type: string - name: PID_MODE required: true type: string - name: PRIVILEGED required: true type: bigint - name: START_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' - name: TAGS required: true 유형: json ``` ### Lacework.ContainerVulnDetails Lacework.ContainerVulnDetails는 환경의 컨테이너 취약점을 모니터링합니다. 참조: [ContainerVulnDetails에 대한 Lacework 문서](https://docs.lacework.com/console/containervulndetailsv-view). ```yaml fields: - name: SEVERITY type: string - name: VULN_ID type: string - name: EVAL_CTX required: true type: object fields: - name: cve_batch_info required: true type: array element: type: object fields: - name: cve_batch_id required: true type: string - name: cve_created_time required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f000' - name: image_info required: true type: object fields: - name: created_time required: true 유형: 타임스탬프 시간 형식: unix_ms - name: digest required: true type: string - name: id required: true type: string - name: registry required: true type: string - name: repo required: true type: string - name: scan_created_time required: true 유형: 타임스탬프 timeFormat: unix - name: 크기 required: true type: bigint - name: status required: true type: string - 이름: tags required: true type: array element: type: string - name: type required: true type: string - name: integration_props required: true type: object fields: - name: INTG_GUID type: string - name: NAME type: string - name: REGISTRY_TYPE type: string - name: is_reeval required: true type: boolean - name: request_source required: true type: string - name: scan_batch_id required: true type: string - name: scan_request_props required: true type: object fields: - name: reqId type: string - name: data_format_version required: true type: string - name: props required: true type: object fields: - name: data_format_version required: true type: string - name: scanner_version required: true type: string - name: scanCompletionUtcTime required: true 유형: 타임스탬프 timeFormat: unix - name: scan_start_time required: true 유형: 타임스탬프 timeFormat: unix - name: scanner_version required: true type: string - name: vuln_batch_id required: true type: string - name: vuln_created_time required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f000' - name: FEATURE_KEY required: true type: object fields: - name: name required: true type: string - name: namespace required: true type: string - name: 버전 required: true type: string - name: FEATURE_PROPS required: true type: object fields: - name: introduced_in required: true type: string - name: layer required: true type: string - name: src required: true type: string - name: version_format required: true type: string - name: FIX_INFO required: true type: object fields: - name: compare_result required: true type: string - name: fix_available required: true type: string - name: fixed_version required: true type: string - name: IMAGE_ID required: true type: string - name: START_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: STATUS required: true type: string ``` ### Lacework.DNSQuery Lacework.DNSQuery는 환경의 모든 DNS 쿼리를 모니터링합니다. 참조: [DNSQuery에 대한 Lacework 문서](https://docs.lacework.com/console/dnsqueryv-view). ```yaml fields: - name: CREATED_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: DNS_SERVER_IP required: true type: string indicators: - ip - name: FQDN required: true type: string indicators: - domain - name: HOST_IP_ADDR required: true type: string indicators: - ip - name: MID required: true type: string - name: TTL required: true type: bigint ``` ### Lacework.HostVulnDetails Lacework.HostVulnDetails는 환경 전반의 호스트에 있는 모든 취약점에 대한 세부 정보를 제공합니다. 참조: [HostVulnDetails에 대한 Lacework 문서](https://docs.lacework.com/console/hostvulndetailsv-view). ```yaml fields: - name: FIX_INFO type: object fields: - name: compare_result required: true type: string - name: eval_status required: true type: string - name: fix_available required: true type: string - name: fixed_version required: true type: string - name: fixed_version_comparison_infos required: true type: array element: type: object fields: - name: curr_fix_ver required: true type: string - name: is_curr_fix_ver_greater_than_other_fix_ver required: true type: string - name: other_fix_ver required: true type: string - name: fixed_version_comparison_score required: true type: bigint - name: version_installed required: true type: string - name: SEVERITY type: string - name: STATUS type: string - name: VULN_ID type: string - name: CVE_PROPS required: true type: object fields: - name: cve_batch_id type: string - name: 설명 type: string - name: 링크 type: string indicators: - URL - name: END_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: EVAL_CTX required: true type: object fields: - name: data_source required: true type: string - name: hostname required: true type: string - name: mc_eval_guid required: true type: string - name: FEATURE_KEY required: true type: object fields: - name: name required: true type: string - name: namespace required: true type: string - name: package_active required: true type: boolean - name: package_path required: true type: string - name: version_installed required: true type: string - name: MACHINE_TAGS required: true 유형: json - name: MID required: true type: string - name: START_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' ``` ### Lacework.Image Lacework.Image는 환경의 모든 컨테이너 이미지에 대한 세부 정보를 제공합니다. 참조: [Images에 대한 Lacework 문서](https://docs.lacework.com/console/imagev-view). ```yaml fields: - name: CONTAINER_TYPE required: true type: string - name: CREATED_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: IMAGE_ID required: true type: string - name: MID required: true type: string - name: REPO required: true type: string - name: SIZE required: true type: bigint - name: TAG required: true type: string ``` ### Lacework.Interfaces Lacework.Interfaces는 환경 전반에서 발견된 모든 네트워크 인터페이스를 모니터링합니다. 참조: [Interfaces에 대한 Lacework 문서](https://docs.lacework.com/console/interfacesv-view). ```yaml fields: - name: CREATED_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: HW_ADDR required: true type: string - name: IP_ADDR required: true type: string indicators: - ip - name: MID required: true type: string - name: NAME required: true type: string ``` ### Lacework.InternalIPA Lacework.InternalIPA는 환경 전반의 모든 내부 IP 주소를 모니터링합니다. 참조: [InternalIPA에 대한 Lacework 문서](https://docs.lacework.com/console/internalipav-view). ```yaml fields: - name: END_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: IP_ADDR required: true type: string indicators: - ip - name: MID required: true type: string - name: START_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' ``` ### Lacework.MachineDetails Lacework.MachineDetails는 환경에서 발견된 모든 머신에 대한 과거 데이터를 집계합니다. 참조: [MachineDetails에 대한 Lacework 문서](https://docs.lacework.com/console/machinedetailsv-view). ```yaml fields: - name: AWS_INSTANCE_ID type: string indicators: - aws_instance_id - name: AWS_ZONE type: string - name: TAGS 유형: json - name: CREATED_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: DOMAIN required: true type: string indicators: - domain - name: HOSTNAME required: true type: string indicators: - hostname - name: KERNEL required: true type: string - name: KERNEL_RELEASE required: true type: string - name: KERNEL_VERSION required: true type: string - name: MID required: true type: string - name: OS required: true type: string - name: OS_VERSION required: true type: string ``` ### Lacework.MachineSummary Lacework.MachineSummary는 환경의 머신에 대한 세부 정보를 요약하고 집계합니다. 참조: [MachineSummary에 대한 Lacework 문서](https://docs.lacework.com/console/machinesummaryv-view). ```yaml fields: - name: END_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: ENTITY_TYPE required: true type: string - name: HOSTNAME required: true type: string - name: MACHINE_TAGS required: true 유형: json - name: MID required: true type: string - name: PRIMARY_IP_ADDR required: true type: string indicators: - ip - name: START_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' ``` ### Lacework.NewHashes Lacework.NewHashes는 환경의 모든 새 파일 해시를 추적합니다. 참조: [NewHashes에 대한 Lacework 문서](https://docs.lacework.com/console/newhashesv-view). ```yaml fields: - name: END_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: FILEDATA_HASH required: true type: string indicators: - sha256 - name: START_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' ``` ### Lacework.Package Lacework.Package는 환경의 모든 패키지를 추적합니다. 참조: [Packages에 대한 Lacework 문서](https://docs.lacework.com/console/packagev-view). ```yaml fields: - name: ARCH required: true type: string - name: CREATED_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: MID required: true type: string - name: PACKAGE_NAME required: true type: string - name: VERSION required: true type: string ``` ### Lacework.PodSummary Lacework.PodSummary는 환경의 모든 파드(하나 이상의 컨테이너 모음)를 추적합니다. 참조: [PodSummary에 대한 Lacework 문서](https://docs.lacework.com/console/podsummaryv-view). ```yaml fields: - name: END_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: MID required: true type: string - name: POD_NAME required: true type: string - name: PRIMARY_IP_ADDR required: true type: string indicators: - ip - name: PROPS_CONTAINER required: true 유형: json - name: START_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' ``` ### Lacework.ProcessSummary Lacework.ProcessSummary는 환경에서 실행 중인 모든 프로세스를 추적합니다. 참조: [ProcessSummary에 대한 Lacework 문서](https://docs.lacework.com/console/processsummaryv-view). ```yaml fields: - name: POD_NAME type: string - name: CONTAINER_ID type: string - name: CMDLINE_HASH required: true type: string indicators: - md5 - name: END_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: FILE_PATH required: true type: string - name: MID required: true type: string - name: PID required: true type: string - name: PPID required: true type: string - name: PROCESS_START_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' - name: START_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' - name: UID required: true type: string - name: USERNAME required: true type: string indicators: - 사용자 이름 ``` ### Lacework.UserDetails Lacework.UserDetails는 환경의 모든 사용자에 대한 과거 데이터를 추적합니다. 참조: [UserDetails에 대한 Lacework 문서](https://docs.lacework.com/console/userdetailsv-view). ```yaml fields: - name: OTHER_GROUP_NAMES type: array element: type: string - name: CREATED_TIME required: true 유형: 타임스탬프 timeFormat: '%Y-%m-%d %H:%M:%S.%f' isEventTime: true - name: MID required: true type: string - name: PRIMARY_GROUP_NAME required: true type: string - name: UID required: true type: string - name: USERNAME required: true type: string indicators: - 사용자 이름 ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/lacework/export.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.