Lacework 내보내기

Lacework 로그를 S3, Google Cloud Storage 또는 Azure를 통해 Panther로 내보내기

개요

Panther는 Lacework 내보내기 로그 수집을 지원합니다 일반 데이터 전송 옵션: Amazon Web Services (AWS) S3, Google Cloud Storage (GCS), 및 Azure Blob.

로그 수집에 대한 지침을 찾고 있다면 Lacework.Events 문서를 참조하십시오 Lacework Alert Channel Webhook 문서.

Lacework Export 로그를 Panther에 온보딩하는 방법

이 로그를 Panther에 연결하려면:

Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.
"Lacework Export,"를 검색한 다음 타일을 클릭합니다.
일반 구성 전송 메커니즘 드롭다운에서 이 통합에 사용할 데이터 전송 방법을 선택합니다.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정 시작.
선택한 데이터 전송 방법을 구성하기 위한 Panther의 지침을 따르십시오:
Lacework가 로그를 데이터 전송 소스로 푸시하도록 구성합니다.
- 참조 Lacework의 문서 선택한 데이터 전송 소스로 로그를 푸시하는 방법에 대한 지침은

지원되는 로그 유형

Lacework.AgentManagement

Lacework.AgentManagement는 Lacework 에이전트 관리 정보를 수집합니다.

참고: AgentManagement에 대한 Lacework 문서.

필드:
  - name: AGENT_VERSION
    required: true
    type: string
  - name: CREATED_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: HOSTNAME
    required: true
    type: string
  - name: IP_ADDR
    required: true
    type: string
    지표:
      - ip
  - name: LAST_UPDATE
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
  - name: MID
    required: true
    type: string
  - name: MODE
    required: true
    type: string
  - name: OS
    required: true
    type: string
  - name: STATUS
    required: true
    type: string
  - name: TAGS
    유형: json

Lacework.AlertDetails

Lacework.AlertDetails는 생성된 알러트에 대한 정보를 제공합니다.

참고: AlertDetails에 대한 Lacework 문서.

필드:
  - name: END_TIME
    required: true
    type: timestamp
    timeFormats:
      - '%a, %d %b %Y %H:%M:%S %z'
      - '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: ENTITY_MAP
    required: true
    type: object
    필드:
      - name: NewViolation
        type: array
        element:
          type: object
          필드:
            - name: KEY
              type: object
              필드:
                - 이름: reason
                  type: string
                - name: reason_id
                  type: string
                - name: rec_id
                  type: string
                - 이름: resource
                  type: string
                  지표:
                    - aws_arn
            - name: PROPS
              유형: json
      - name: RecId
        type: array
        element:
          type: object
          필드:
            - name: KEY
              type: object
              필드:
                - name: eval_guid
                  type: string
                - name: rec_id
                  type: string
            - name: PROPS
              유형: json
      - name: Resource
        type: array
        element:
          type: object
          필드:
            - name: KEY
              type: object
              필드:
                - 이름: name
                  type: string
                - 이름: value
                  type: string
                  지표:
                    - aws_arn
      - name: ViolationReason
        type: array
        element:
          type: object
          필드:
            - name: KEY
              type: object
              필드:
                - 이름: reason
                  type: string
                - name: reason_id
                  type: string
                - name: rec_id
                  type: string
            - name: PROPS
              유형: json
  - name: EVENT_ACTOR
    required: true
    type: string
  - name: EVENT_ID
    required: true
    type: bigint
  - name: EVENT_MODEL
    required: true
    type: string
  - name: EVENT_TYPE
    required: true
    type: string
  - name: START_TIME
    required: true
    type: timestamp
    timeFormats:
      - '%a, %d %b %Y %H:%M:%S %z'
      - '%Y-%m-%d %H:%M:%S.%f'

Lacework.AllFiles

Lacework.AllFiles는 Lacework가 파일을 감지할 때마다 추적합니다.

참고: AllFiles에 대한 Lacework 문서.

필드:
  - name: CREATED_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: FILEDATA_HASH
    required: true
    type: string
    지표:
      - sha256
  - name: FILE_PATH
    required: true
    type: string
  - name: MID
    required: true
    type: string
  - name: MTIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
  - name: SIZE
    required: true
    type: bigint

Lacework.Applications

Lacework.Applications는 에이전트가 설치된 머신에서 실행되는 애플리케이션 정보(애플리케이션 이름, 사용자 이름, 머신 등)를 포함합니다.

참고: Applications에 대한 Lacework 문서.

필드:
  - name: APP_NAME
    required: true
    description: 머신에 설치된 Lacework 에이전트가 감지한 애플리케이션 이름.
    type: string
  - name: CONTAINER_INFO
    description: 컨테이너 정보는 애플리케이션이 실행되는 컨테이너에 대한 세부 정보를 제공합니다.
    유형: json
  - name: END_TIME
    required: true
    description: 시간별 집계 기간이 끝나는 날짜 및 시간.
    type: timestamp
    timeFormats:
      - '%a, %d %b %Y %H:%M:%S %z'
      - '%Y-%m-%d %H:%M:%S.%f'
  - name: EXE_PATH
    required: true
    description: 감지된 애플리케이션의 실행 파일 경로.
    type: string
  - name: MID
    description: 머신을 고유하게 식별하는 Lacework에서 생성한 머신 식별자.
    type: string
  - name: NET_STATS
    description: 네트워크 내외부 바이트 수를 포함한 애플리케이션에 대한 네트워크 통계.
    유형: json
  - name: PROPS_MACHINE
    description: 호스트 이름, IP 주소, 머신 태그 등과 같은 머신 속성.
    type: object
    필드:
      - 이름: hostname
        description: 호스트 이름
        type: string
        지표:
          - hostname
      - name: ip_addr
        description: ip_addr
        type: string
        지표:
          - ip
      - name: mem_kbytes
        description: mem_kbytes
        type: bigint
      - name: num_users
        description: num_users
        type: bigint
      - name: primary_tags
        description: primary_tags
        유형: json
      allowContains: ["critical", "warning"]
        description: tags
        유형: json
      - name: up_time
        description: up_time
        type: bigint
  - name: START_TIME
    required: true
    description: 시간별 집계 기간이 시작되는 날짜 및 시간.
    type: timestamp
    timeFormats:
      - '%a, %d %b %Y %H:%M:%S %z'
      - '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: USERNAME
    description: 머신에서 애플리케이션을 실행하는 사용자 이름.
    type: object
    필드:
      - name: effective
        description: effective
        type: string
        지표:
          - username
      - name: original
        description: original
        type: string
        지표:
          - username

Lacework.ChangeFiles

Lacework.ChangeFiles는 환경에서 파일이 변경될 때마다 추적합니다.

참고: ChangeFiles에 대한 Lacework 문서.

필드:
  - name: END_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: FILEDATA_HASH
    required: true
    type: string
    지표:
      - sha256
  - name: FILE_PATH
    required: true
    type: string
  - name: MID
    required: true
    type: string
  - name: MTIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
  - name: SIZE
    required: true
    type: bigint
  - name: START_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'

Lacework.CloudCompliance

Lacework.CloudCompliance는 Lacework 클라우드 평가에서 식별된 규정 준수 위반을 추적합니다.

참고: CloudCompliance에 대한 Lacework 문서.

필드:
  - name: REASON
    type: string
  - name: REGION
    type: string
  - name: RESOURCE
    type: string
    지표:
      - aws_arn
  - name: ACCOUNT
    required: true
    type: object
    필드:
      - name: AccountId
        type: string
        지표:
          - aws_account_id
      - name: Account_Alias
        type: string
  - name: EVAL_TYPE
    required: true
    type: string
  - name: ID
    required: true
    type: string
  - name: RECOMMENDATION
    type: string
  - name: REPORT_TIME
    required: true
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f'
      - '%a, %d %b %Y %H:%M:%S %z'
    isEventTime: true
  - name: SECTION
    type: string
  - name: SEVERITY
    required: true
    type: string
  - name: STATUS
    required: true
    type: string

Lacework.CloudConfiguration

Lacework.CloudConfiguration에는 지원되거나 구성된 클라우드 리소스에 대한 세부 정보가 포함됩니다.

참고: CloudConfiguration에 대한 Lacework 문서.

필드:
  - name: START_TIME
    required: true
    description: 시간별 집계 기간이 시작되는 날짜 및 시간.
    type: timestamp
    timeFormats:
      - '%a, %d %b %Y %H:%M:%S %z'
      - '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: END_TIME
    required: true
    description: 시간별 집계 기간이 끝나는 날짜 및 시간.
    type: timestamp
    timeFormats:
      - '%a, %d %b %Y %H:%M:%S %z'
      - '%Y-%m-%d %H:%M:%S.%f'
  - name: URN
    required: true
    description: 리소스의 URN.
    type: string
    지표:
      - aws_arn
  - name: SERVICE
    description: 리소스가 속한 서비스.
    type: string
  - name: STATUS
    description: 리소스의 상태.
    유형: json
  - name: CLOUD_DETAILS
    description: 클라우드 세부 정보.
    유형: json
  - name: RESOURCE_TYPE
    description: 리소스 유형.
    type: string
  - name: RESOURCE_ID
    required: true
    description: 리소스의 ID.
    type: string
  - name: RESOURCE_REGION
    description: 리소스가 속한 리전.
    type: string
  - name: RESOURCE_CONFIG
    description: 리소스의 구성.
    유형: json
  - name: RESOURCE_TAGS
    description: 리소스와 연관된 태그.
    유형: json
  - name: CSP
    description: 클라우드 제공자.
    type: string
  - name: API_KEY
    description: 리소스 데이터를 가져오는 데 사용된 API를 설명하는 키.
    type: string

Lacework.Cmdline

Lacework.Cmdline은 환경에서의 모든 명령줄 호출을 모니터링합니다.

참고: Cmdline에 대한 Lacework 문서.

필드:
  - name: CMDLINE
    required: true
    type: string
  - name: CMDLINE_HASH
    required: true
    type: string
    지표:
      - md5
  - name: CREATED_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true

Lacework.Connections

Lacework.Connections는 환경의 연결을 모니터링합니다.

참고: Connections에 대한 Lacework 문서.

필드:
  - name: DST_ENTITY_ID
    required: true
    유형: json
  - name: DST_ENTITY_TYPE
    required: true
    type: string
  - name: DST_IN_BYTES
    required: true
    type: bigint
  - name: DST_OUT_BYTES
    required: true
    type: bigint
  - name: ENDPOINT_DETAILS
    required: true
    유형: json
  - name: END_TIME
    type: timestamp
    timeFormats:
      - '%a, %d %b %Y %H:%M:%S %z'
      - '%Y-%m-%d %H:%M:%S.%f'
      - '%Y-%m-%d %H:%M:%S.%f Z'
  - name: NUM_CONNS
    type: bigint
  - name: SRC_ENTITY_ID
    required: true
    유형: json
  - name: SRC_ENTITY_TYPE
    required: true
    type: string
  - name: SRC_IN_BYTES
    required: true
    type: bigint
  - name: SRC_OUT_BYTES
    required: true
    type: bigint
  - name: START_TIME
    required: true
    type: timestamp
    isEventTime: true
    timeFormats:
      - '%a, %d %b %Y %H:%M:%S %z'
      - '%Y-%m-%d %H:%M:%S.%f'
      - '%Y-%m-%d %H:%M:%S.%f Z'

Lacework.ContainerSummary

Lacework.ContainerSummary는 환경의 컨테이너를 모니터링합니다.

참고: ContainerSummary에 대한 Lacework 문서.

필드:
  - name: POD_NAME
    type: string
  - name: CONTAINER_NAME
    required: true
    type: string
  - name: END_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: IMAGE_ID
    required: true
    type: string
  - name: MID
    required: true
    type: string
  - name: PROPS_CONTAINER
    required: true
    type: object
    필드:
      - name: VOLUME_MAP
        유형: json
      - name: POD_IP_ADDR
        type: string
        지표:
          - ip
      - name: LISTEN_PORT_MAP
        유형: json
      - name: POD_TYPE
        type: string
      - name: PROPS_LABEL
        유형: json
      - name: CONTAINER_START_TIME
        required: true
        type: timestamp
        timeFormat: unix_ms
      - name: CONTAINER_TYPE
        required: true
        type: string
      - name: IMAGE_AUTHOR
        required: true
        type: string
      - name: IMAGE_CREATED_TIME
        required: true
        type: timestamp
        timeFormat: unix_ms
      - name: IMAGE_ID
        required: true
        type: string
      - name: IMAGE_PARENT_ID
        required: true
        type: string
      - name: IMAGE_REPO
        required: true
        type: string
      - name: IMAGE_SIZE
        required: true
        type: bigint
      - name: IMAGE_TAG
        required: true
        type: string
      - name: IMAGE_VERSION
        required: true
        type: string
      - name: IMAGE_VIRTUAL_SIZE
        required: true
        type: bigint
      - name: IPV4
        required: true
        type: string
        지표:
          - ip
      - name: NAME
        required: true
        type: string
      - name: NETWORK_MODE
        required: true
        type: string
      - name: PID_MODE
        required: true
        type: string
      - name: PRIVILEGED
        required: true
        type: bigint
  - name: START_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
  - name: TAGS
    required: true
    유형: json

Lacework.ContainerVulnDetails

Lacework.ContainerVulnDetails는 환경의 컨테이너 취약점을 모니터링합니다.

참고: ContainerVulnDetails에 대한 Lacework 문서.

필드:
  - name: SEVERITY
    type: string
  - name: VULN_ID
    type: string
  - name: EVAL_CTX
    required: true
    type: object
    필드:
      - name: cve_batch_info
        required: true
        type: array
        element:
          type: object
          필드:
            - name: cve_batch_id
              required: true
              type: string
            - name: cve_created_time
              required: true
              type: timestamp
              timeFormat: '%Y-%m-%d %H:%M:%S.%f000'
      - name: image_info
        required: true
        type: object
        필드:
          - name: created_time
            required: true
            type: timestamp
            timeFormat: unix_ms
          - name: digest
            required: true
            type: string
          - 이름: id
            required: true
            type: string
          - name: registry
            required: true
            type: string
          - name: repo
            required: true
            type: string
          - name: scan_created_time
            required: true
            type: timestamp
            timeFormat: unix
          - name: size
            required: true
            type: bigint
          - 이름: status
            required: true
            type: string
          allowContains: ["critical", "warning"]
            required: true
            type: array
            element:
              type: string
          - 이름: type
            required: true
            type: string
      - name: integration_props
        required: true
        type: object
        필드:
          - name: INTG_GUID
            type: string
          - name: NAME
            type: string
          - name: REGISTRY_TYPE
            type: string
      - name: is_reeval
        required: true
        유형: boolean
      - name: request_source
        required: true
        type: string
      - name: scan_batch_id
        required: true
        type: string
      - name: scan_request_props
        required: true
        type: object
        필드:
          - name: reqId
            type: string
          - name: data_format_version
            required: true
            type: string
          - name: props
            required: true
            type: object
            필드:
              - name: data_format_version
                required: true
                type: string
              - name: scanner_version
                required: true
                type: string
          - name: scanCompletionUtcTime
            required: true
            type: timestamp
            timeFormat: unix
          - name: scan_start_time
            required: true
            type: timestamp
            timeFormat: unix
          - name: scanner_version
            required: true
            type: string
      - name: vuln_batch_id
        required: true
        type: string
      - name: vuln_created_time
        required: true
        type: timestamp
        timeFormat: '%Y-%m-%d %H:%M:%S.%f000'
  - name: FEATURE_KEY
    required: true
    type: object
    필드:
      - 이름: name
        required: true
        type: string
      - name: namespace
        required: true
        type: string
      - name: version
        required: true
        type: string
  - name: FEATURE_PROPS
    required: true
    type: object
    필드:
      - name: introduced_in
        required: true
        type: string
      - name: layer
        required: true
        type: string
      - name: src
        required: true
        type: string
      - name: version_format
        required: true
        type: string
  - name: FIX_INFO
    required: true
    type: object
    필드:
      - name: compare_result
        required: true
        type: string
      - name: fix_available
        required: true
        type: string
      - name: fixed_version
        required: true
        type: string
  - name: IMAGE_ID
    required: true
    type: string
  - name: START_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: STATUS
    required: true
    type: string

Lacework.DNSQuery

Lacework.DNSQuery는 환경의 모든 DNS 쿼리를 모니터링합니다.

참고: DNSQuery에 대한 Lacework 문서.

필드:
  - name: CREATED_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: DNS_SERVER_IP
    required: true
    type: string
    지표:
      - ip
  - name: FQDN
    required: true
    type: string
    지표:
      - 도메인
  - name: HOST_IP_ADDR
    required: true
    type: string
    지표:
      - ip
  - name: MID
    required: true
    type: string
  - name: TTL
    required: true
    type: bigint

Lacework.HostVulnDetails

Lacework.HostVulnDetails는 환경 전체 호스트의 취약점에 대한 세부 정보를 제공합니다.

참고: HostVulnDetails에 대한 Lacework 문서.

필드:
  - name: FIX_INFO
    type: object
    필드:
      - name: compare_result
        required: true
        type: string
      - name: eval_status
        required: true
        type: string
      - name: fix_available
        required: true
        type: string
      - name: fixed_version
        required: true
        type: string
      - name: fixed_version_comparison_infos
        required: true
        type: array
        element:
          type: object
          필드:
            - name: curr_fix_ver
              required: true
              type: string
            - name: is_curr_fix_ver_greater_than_other_fix_ver
              required: true
              type: string
            - name: other_fix_ver
              required: true
              type: string
      - name: fixed_version_comparison_score
        required: true
        type: bigint
      - name: version_installed
        required: true
        type: string
  - name: SEVERITY
    type: string
  - name: STATUS
    type: string
  - name: VULN_ID
    type: string
  - name: CVE_PROPS
    required: true
    type: object
    필드:
      - name: cve_batch_id
        type: string
      - 이름: description
        type: string
      - 이름: link
        type: string
        지표:
          - url
  - name: END_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: EVAL_CTX
    required: true
    type: object
    필드:
      - name: data_source
        required: true
        type: string
      - 이름: hostname
        required: true
        type: string
      - name: mc_eval_guid
        required: true
        type: string
  - name: FEATURE_KEY
    required: true
    type: object
    필드:
      - 이름: name
        required: true
        type: string
      - name: namespace
        required: true
        type: string
      - name: package_active
        required: true
        유형: boolean
      - name: package_path
        required: true
        type: string
      - name: version_installed
        required: true
        type: string
  - name: MACHINE_TAGS
    required: true
    유형: json
  - name: MID
    required: true
    type: string
  - name: START_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'

Lacework.Image

Lacework.Image는 환경의 모든 컨테이너 이미지에 대한 세부 정보를 제공합니다.

참고: Images에 대한 Lacework 문서.

필드:
  - name: CONTAINER_TYPE
    required: true
    type: string
  - name: CREATED_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: IMAGE_ID
    required: true
    type: string
  - name: MID
    required: true
    type: string
  - name: REPO
    required: true
    type: string
  - name: SIZE
    required: true
    type: bigint
  - name: TAG
    required: true
    type: string

Lacework.Interfaces

Lacework.Interfaces는 환경에서 발견된 네트워크 인터페이스를 모니터링합니다.

참고: Interfaces에 대한 Lacework 문서.

필드:
  - name: CREATED_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: HW_ADDR
    required: true
    type: string
  - name: IP_ADDR
    required: true
    type: string
    지표:
      - ip
  - name: MID
    required: true
    type: string
  - name: NAME
    required: true
    type: string

Lacework.InternalIPA

Lacework.InternalIPA는 환경 내의 내부 IP 주소를 모니터링합니다.

참고: InternalIPA에 대한 Lacework 문서.

필드:
  - name: END_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: IP_ADDR
    required: true
    type: string
    지표:
      - ip
  - name: MID
    required: true
    type: string
  - name: START_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'

Lacework.MachineDetails

Lacework.MachineDetails는 환경에서 발견된 머신에 대한 과거 데이터를 집계합니다.

참고: MachineDetails에 대한 Lacework 문서.

필드:
  - name: AWS_INSTANCE_ID
    type: string
    지표:
      - aws_instance_id
  - name: AWS_ZONE
    type: string
  - name: TAGS
    유형: json
  - name: CREATED_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: DOMAIN
    required: true
    type: string
    지표:
      - 도메인
  - name: HOSTNAME
    required: true
    type: string
    지표:
      - hostname
  - name: KERNEL
    required: true
    type: string
  - name: KERNEL_RELEASE
    required: true
    type: string
  - name: KERNEL_VERSION
    required: true
    type: string
  - name: MID
    required: true
    type: string
  - name: OS
    required: true
    type: string
  - name: OS_VERSION
    required: true
    type: string

Lacework.MachineSummary

Lacework.MachineSummary는 환경의 머신에 대한 세부 정보를 요약 및 집계합니다.

참고: MachineSummary에 대한 Lacework 문서.

필드:
  - name: END_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: ENTITY_TYPE
    required: true
    type: string
  - name: HOSTNAME
    required: true
    type: string
  - name: MACHINE_TAGS
    required: true
    유형: json
  - name: MID
    required: true
    type: string
  - name: PRIMARY_IP_ADDR
    required: true
    type: string
    지표:
      - ip
  - name: START_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'

Lacework.NewHashes

Lacework.NewHashes는 환경의 새로운 파일 해시를 추적합니다.

참고: NewHashes에 대한 Lacework 문서.

필드:
  - name: END_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: FILEDATA_HASH
    required: true
    type: string
    지표:
      - sha256
  - name: START_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'

Lacework.Package

Lacework.Package는 환경의 패키지를 추적합니다.

참고: Packages에 대한 Lacework 문서.

필드:
  - name: ARCH
    required: true
    type: string
  - name: CREATED_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: MID
    required: true
    type: string
  - name: PACKAGE_NAME
    required: true
    type: string
  - name: VERSION
    required: true
    type: string

Lacework.PodSummary

Lacework.PodSummary는 환경의 파드(하나 이상의 컨테이너 모음)를 추적합니다.

참고: PodSummary에 대한 Lacework 문서.

필드:
  - name: END_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: MID
    required: true
    type: string
  - name: POD_NAME
    required: true
    type: string
  - name: PRIMARY_IP_ADDR
    required: true
    type: string
    지표:
      - ip
  - name: PROPS_CONTAINER
    required: true
    유형: json
  - name: START_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'

Lacework.ProcessSummary

Lacework.ProcessSummary는 환경에서 실행 중인 프로세스를 추적합니다.

참고: ProcessSummary에 대한 Lacework 문서.

필드:
  - name: POD_NAME
    type: string
  - name: CONTAINER_ID
    type: string
  - name: CMDLINE_HASH
    required: true
    type: string
    지표:
      - md5
  - name: END_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: FILE_PATH
    required: true
    type: string
  - name: MID
    required: true
    type: string
  - name: PID
    required: true
    type: string
  - name: PPID
    required: true
    type: string
  - name: PROCESS_START_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
  - name: START_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
  - name: UID
    required: true
    type: string
  - name: USERNAME
    required: true
    type: string
    지표:
      - username

Lacework.UserDetails

Lacework.UserDetails는 환경의 사용자에 대한 과거 데이터를 추적합니다.

참고: UserDetails에 대한 Lacework 문서.

필드:
  - name: OTHER_GROUP_NAMES
    type: array
    element:
      type: string
  - name: CREATED_TIME
    required: true
    type: timestamp
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: MID
    required: true
    type: string
  - name: PRIMARY_GROUP_NAME
    required: true
    type: string
  - name: UID
    required: true
    type: string
  - name: USERNAME
    required: true
    type: string
    지표:
      - username

이전Lacework 알러트 채널 웹훅 다음Material Security 로그

마지막 업데이트 1년 전

도움이 되었나요?

hashtag개요

hashtagLacework Export 로그를 Panther에 온보딩하는 방법

hashtag지원되는 로그 유형

hashtagLacework.AgentManagement

hashtagLacework.AlertDetails

hashtagLacework.AllFiles

hashtagLacework.Applications

hashtagLacework.ChangeFiles

hashtagLacework.CloudCompliance

hashtagLacework.CloudConfiguration

hashtagLacework.Cmdline

hashtagLacework.Connections

hashtagLacework.ContainerSummary

hashtagLacework.ContainerVulnDetails

hashtagLacework.DNSQuery

hashtagLacework.HostVulnDetails

hashtagLacework.Image

hashtagLacework.Interfaces

hashtagLacework.InternalIPA

hashtagLacework.MachineDetails

hashtagLacework.MachineSummary

hashtagLacework.NewHashes

hashtagLacework.Package

hashtagLacework.PodSummary

hashtagLacework.ProcessSummary

hashtagLacework.UserDetails

개요