Lacework Export

S3, Google Cloud Storage 또는 Azure를 통해 Lacework 로그를 Panther로 내보내기

개요

Panther는 일반적인 Lacework 내보내기 로그 수집을 지원합니다 데이터 전송 옵션: Amazon Web Services (AWS) S3, Google Cloud Storage (GCS), 및 Azure Blob.

수집에 대한 지침을 찾고 있다면 Lacework.Events 로그는 다음을 참조하세요 Lacework 알러트 채널 Webhook 문서.

Lacework 내보내기 로그를 Panther에 온보딩하는 방법

이 로그를 Panther에 연결하려면:

왼쪽 탐색 모음에서 Panther Console의 Configure > Log Sources.
클릭 새로 만들기.
"Lacework Export,"를 검색한 다음 해당 타일을 클릭하세요.
에서 전송 메커니즘 드롭다운에서 이 통합에 사용하려는 Data Transport 방법을 선택하세요.
클릭 설정 시작.
선택한 Data Transport 방법을 구성하려면 Panther의 지침을 따르세요:
로그를 Data Transport 소스로 푸시하도록 Lacework를 구성하세요.
- 다음을 참조하세요 Lacework의 문서 선택한 Data Transport 소스로 로그를 푸시하는 방법에 대한 지침입니다.

지원되는 로그 유형

Lacework.AgentManagement

Lacework.AgentManagement는 Lacework 에이전트 관리 정보를 수집합니다.

참조: AgentManagement에 대한 Lacework 문서.

fields:
  - name: AGENT_VERSION
    required: true
    type: string
  - name: CREATED_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: HOSTNAME
    required: true
    type: string
  - name: IP_ADDR
    required: true
    type: string
    indicators:
      - ip
  - name: LAST_UPDATE
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
  - name: MID
    required: true
    type: string
  - name: MODE
    required: true
    type: string
  - name: OS
    required: true
    type: string
  - name: STATUS
    required: true
    type: string
  - name: TAGS
    유형: json

Lacework.AlertDetails

Lacework.AlertDetails는 생성된 알러트에 대한 정보를 제공합니다.

참조: AlertDetails에 대한 Lacework 문서.

fields:
  - name: END_TIME
    required: true
    유형: 타임스탬프
    timeFormats:
      - '%a, %d %b %Y %H:%M:%S %z'
      - '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: ENTITY_MAP
    required: true
    type: object
    fields:
      - name: NewViolation
        type: array
        element:
          type: object
          fields:
            - name: KEY
              type: object
              fields:
                - name: reason
                  type: string
                - name: reason_id
                  type: string
                - name: rec_id
                  type: string
                - name: resource
                  type: string
                  indicators:
                    - aws_arn
            - name: PROPS
              유형: json
      - name: RecId
        type: array
        element:
          type: object
          fields:
            - name: KEY
              type: object
              fields:
                - name: eval_guid
                  type: string
                - name: rec_id
                  type: string
            - name: PROPS
              유형: json
      - name: Resource
        type: array
        element:
          type: object
          fields:
            - name: KEY
              type: object
              fields:
                - name: name
                  type: string
                - name: value
                  type: string
                  indicators:
                    - aws_arn
      - name: ViolationReason
        type: array
        element:
          type: object
          fields:
            - name: KEY
              type: object
              fields:
                - name: reason
                  type: string
                - name: reason_id
                  type: string
                - name: rec_id
                  type: string
            - name: PROPS
              유형: json
  - name: EVENT_ACTOR
    required: true
    type: string
  - name: EVENT_ID
    required: true
    type: bigint
  - name: EVENT_MODEL
    required: true
    type: string
  - name: EVENT_TYPE
    required: true
    type: string
  - name: START_TIME
    required: true
    유형: 타임스탬프
    timeFormats:
      - '%a, %d %b %Y %H:%M:%S %z'
      - '%Y-%m-%d %H:%M:%S.%f'

Lacework.AllFiles

Lacework.AllFiles는 Lacework가 파일을 감지할 때마다 이를 추적합니다.

참조: AllFiles에 대한 Lacework 문서.

fields:
  - name: CREATED_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: FILEDATA_HASH
    required: true
    type: string
    indicators:
      - sha256
  - name: FILE_PATH
    required: true
    type: string
  - name: MID
    required: true
    type: string
  - name: MTIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
  - name: SIZE
    required: true
    type: bigint

Lacework.Applications

Lacework.Applications에는 에이전트가 설치된 머신에서 실행 중인 애플리케이션 정보와 세부 정보(예: 애플리케이션 이름, 사용자 이름, 머신 등)가 포함됩니다.

참조: Applications에 대한 Lacework 문서.

fields:
  - name: APP_NAME
    required: true
    description: 머신에 설치된 Lacework 에이전트가 감지한 애플리케이션 이름입니다.
    type: string
  - name: CONTAINER_INFO
    description: 컨테이너 정보는 애플리케이션이 실행 중인 컨테이너에 대한 세부 정보를 제공합니다.
    유형: json
  - name: END_TIME
    required: true
    description: 시간별 집계 기간이 종료되는 시간과 날짜입니다.
    유형: 타임스탬프
    timeFormats:
      - '%a, %d %b %Y %H:%M:%S %z'
      - '%Y-%m-%d %H:%M:%S.%f'
  - name: EXE_PATH
    required: true
    description: 감지된 애플리케이션의 실행 파일 경로입니다.
    type: string
  - name: MID
    description: 머신을 고유하게 식별하는 Lacework 생성 머신 식별자입니다.
    type: string
  - name: NET_STATS
    description: 네트워크의 수신 및 송신 바이트 수를 포함한 애플리케이션의 네트워크 통계입니다.
    유형: json
  - name: PROPS_MACHINE
    description: 호스트 이름, IP 주소, 머신 태그 등과 같은 머신 속성입니다.
    type: object
    fields:
      - name: hostname
        description: hostname
        type: string
        indicators:
          - hostname
      - name: ip_addr
        description: ip_addr
        type: string
        indicators:
          - ip
      - name: mem_kbytes
        description: mem_kbytes
        type: bigint
      - name: num_users
        description: num_users
        type: bigint
      - name: primary_tags
        description: primary_tags
        유형: json
      - 이름: tags
        description: tags
        유형: json
      - name: up_time
        description: up_time
        type: bigint
  - name: START_TIME
    required: true
    description: 시간별 집계 기간이 시작되는 시간과 날짜입니다.
    유형: 타임스탬프
    timeFormats:
      - '%a, %d %b %Y %H:%M:%S %z'
      - '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: USERNAME
    description: 머신에서 애플리케이션을 실행하는 사용자 이름입니다.
    type: object
    fields:
      - name: effective
        description: effective
        type: string
        indicators:
          - 사용자 이름
      - name: 원본
        description: original
        type: string
        indicators:
          - 사용자 이름

Lacework.ChangeFiles

Lacework.ChangeFiles는 환경에서 파일이 변경될 때마다 이를 추적합니다.

참조: ChangeFiles에 대한 Lacework 문서.

fields:
  - name: END_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: FILEDATA_HASH
    required: true
    type: string
    indicators:
      - sha256
  - name: FILE_PATH
    required: true
    type: string
  - name: MID
    required: true
    type: string
  - name: MTIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
  - name: SIZE
    required: true
    type: bigint
  - name: START_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'

Lacework.CloudCompliance

Lacework.CloudCompliance는 Lacework 클라우드 평가에서 식별된 규정 준수 위반을 추적합니다.

참조: CloudCompliance에 대한 Lacework 문서.

fields:
  - name: REASON
    type: string
  - name: REGION
    type: string
  - name: RESOURCE
    type: string
    indicators:
      - aws_arn
  - name: ACCOUNT
    required: true
    type: object
    fields:
      - name: AccountId
        type: string
        indicators:
          - aws_account_id
      - name: Account_Alias
        type: string
  - name: EVAL_TYPE
    required: true
    type: string
  - name: ID
    required: true
    type: string
  - name: RECOMMENDATION
    type: string
  - name: REPORT_TIME
    required: true
    유형: 타임스탬프
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f'
      - '%a, %d %b %Y %H:%M:%S %z'
    isEventTime: true
  - name: SECTION
    type: string
  - name: SEVERITY
    required: true
    type: string
  - name: STATUS
    required: true
    type: string

Lacework.CloudConfiguration

Lacework.CloudConfiguration에는 지원되고 구성된 클라우드 리소스에 대한 세부 정보가 포함됩니다.

참조: CloudConfiguration에 대한 Lacework 문서.

fields:
  - name: START_TIME
    required: true
    description: 시간별 집계 기간이 시작되는 시간과 날짜입니다.
    유형: 타임스탬프
    timeFormats:
      - '%a, %d %b %Y %H:%M:%S %z'
      - '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: END_TIME
    required: true
    description: 시간별 집계 기간이 종료되는 시간과 날짜입니다.
    유형: 타임스탬프
    timeFormats:
      - '%a, %d %b %Y %H:%M:%S %z'
      - '%Y-%m-%d %H:%M:%S.%f'
  - name: URN
    required: true
    description: 리소스의 URN입니다.
    type: string
    indicators:
      - aws_arn
  - name: SERVICE
    description: 리소스가 속한 서비스입니다.
    type: string
  - name: STATUS
    description: 리소스의 상태입니다.
    유형: json
  - name: CLOUD_DETAILS
    description: 클라우드 세부 정보.
    유형: json
  - name: RESOURCE_TYPE
    description: 리소스 유형입니다.
    type: string
  - name: RESOURCE_ID
    required: true
    description: 리소스의 ID입니다.
    type: string
  - name: RESOURCE_REGION
    description: 리소스가 속한 리전입니다.
    type: string
  - name: RESOURCE_CONFIG
    description: 리소스의 구성입니다.
    유형: json
  - name: RESOURCE_TAGS
    description: 리소스와 연결된 태그입니다.
    유형: json
  - name: CSP
    description: 클라우드 제공자입니다.
    type: string
  - name: API_KEY
    description: 리소스의 데이터를 가져오는 데 사용된 API를 설명하는 키입니다.
    type: string

Lacework.Cmdline

Lacework.Cmdline은 환경의 모든 명령줄 호출을 모니터링합니다.

참조: Cmdline에 대한 Lacework 문서.

fields:
  - name: CMDLINE
    required: true
    type: string
  - name: CMDLINE_HASH
    required: true
    type: string
    indicators:
      - md5
  - name: CREATED_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true

Lacework.Connections

Lacework.Connections는 환경의 연결을 모니터링합니다.

참조: Connections에 대한 Lacework 문서.

fields:
  - name: DST_ENTITY_ID
    required: true
    유형: json
  - name: DST_ENTITY_TYPE
    required: true
    type: string
  - name: DST_IN_BYTES
    required: true
    type: bigint
  - name: DST_OUT_BYTES
    required: true
    type: bigint
  - name: ENDPOINT_DETAILS
    required: true
    유형: json
  - name: END_TIME
    유형: 타임스탬프
    timeFormats:
      - '%a, %d %b %Y %H:%M:%S %z'
      - '%Y-%m-%d %H:%M:%S.%f'
      - '%Y-%m-%d %H:%M:%S.%f Z'
  - name: NUM_CONNS
    type: bigint
  - name: SRC_ENTITY_ID
    required: true
    유형: json
  - name: SRC_ENTITY_TYPE
    required: true
    type: string
  - name: SRC_IN_BYTES
    required: true
    type: bigint
  - name: SRC_OUT_BYTES
    required: true
    type: bigint
  - name: START_TIME
    required: true
    유형: 타임스탬프
    isEventTime: true
    timeFormats:
      - '%a, %d %b %Y %H:%M:%S %z'
      - '%Y-%m-%d %H:%M:%S.%f'
      - '%Y-%m-%d %H:%M:%S.%f Z'

Lacework.ContainerSummary

Lacework.ContainerSummary는 환경의 컨테이너를 모니터링합니다.

참조: ContainerSummary에 대한 Lacework 문서.

fields:
  - name: POD_NAME
    type: string
  - name: CONTAINER_NAME
    required: true
    type: string
  - name: END_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: IMAGE_ID
    required: true
    type: string
  - name: MID
    required: true
    type: string
  - name: PROPS_CONTAINER
    required: true
    type: object
    fields:
      - name: VOLUME_MAP
        유형: json
      - name: POD_IP_ADDR
        type: string
        indicators:
          - ip
      - name: LISTEN_PORT_MAP
        유형: json
      - name: POD_TYPE
        type: string
      - name: PROPS_LABEL
        유형: json
      - name: CONTAINER_START_TIME
        required: true
        유형: 타임스탬프
        시간 형식: unix_ms
      - name: CONTAINER_TYPE
        required: true
        type: string
      - name: IMAGE_AUTHOR
        required: true
        type: string
      - name: IMAGE_CREATED_TIME
        required: true
        유형: 타임스탬프
        시간 형식: unix_ms
      - name: IMAGE_ID
        required: true
        type: string
      - name: IMAGE_PARENT_ID
        required: true
        type: string
      - name: IMAGE_REPO
        required: true
        type: string
      - name: IMAGE_SIZE
        required: true
        type: bigint
      - name: IMAGE_TAG
        required: true
        type: string
      - name: IMAGE_VERSION
        required: true
        type: string
      - name: IMAGE_VIRTUAL_SIZE
        required: true
        type: bigint
      - name: IPV4
        required: true
        type: string
        indicators:
          - ip
      - name: NAME
        required: true
        type: string
      - name: NETWORK_MODE
        required: true
        type: string
      - name: PID_MODE
        required: true
        type: string
      - name: PRIVILEGED
        required: true
        type: bigint
  - name: START_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
  - name: TAGS
    required: true
    유형: json

Lacework.ContainerVulnDetails

Lacework.ContainerVulnDetails는 환경의 컨테이너 취약점을 모니터링합니다.

참조: ContainerVulnDetails에 대한 Lacework 문서.

fields:
  - name: SEVERITY
    type: string
  - name: VULN_ID
    type: string
  - name: EVAL_CTX
    required: true
    type: object
    fields:
      - name: cve_batch_info
        required: true
        type: array
        element:
          type: object
          fields:
            - name: cve_batch_id
              required: true
              type: string
            - name: cve_created_time
              required: true
              유형: 타임스탬프
              timeFormat: '%Y-%m-%d %H:%M:%S.%f000'
      - name: image_info
        required: true
        type: object
        fields:
          - name: created_time
            required: true
            유형: 타임스탬프
            시간 형식: unix_ms
          - name: digest
            required: true
            type: string
          - name: id
            required: true
            type: string
          - name: registry
            required: true
            type: string
          - name: repo
            required: true
            type: string
          - name: scan_created_time
            required: true
            유형: 타임스탬프
            timeFormat: unix
          - name: 크기
            required: true
            type: bigint
          - name: status
            required: true
            type: string
          - 이름: tags
            required: true
            type: array
            element:
              type: string
          - name: type
            required: true
            type: string
      - name: integration_props
        required: true
        type: object
        fields:
          - name: INTG_GUID
            type: string
          - name: NAME
            type: string
          - name: REGISTRY_TYPE
            type: string
      - name: is_reeval
        required: true
        type: boolean
      - name: request_source
        required: true
        type: string
      - name: scan_batch_id
        required: true
        type: string
      - name: scan_request_props
        required: true
        type: object
        fields:
          - name: reqId
            type: string
          - name: data_format_version
            required: true
            type: string
          - name: props
            required: true
            type: object
            fields:
              - name: data_format_version
                required: true
                type: string
              - name: scanner_version
                required: true
                type: string
          - name: scanCompletionUtcTime
            required: true
            유형: 타임스탬프
            timeFormat: unix
          - name: scan_start_time
            required: true
            유형: 타임스탬프
            timeFormat: unix
          - name: scanner_version
            required: true
            type: string
      - name: vuln_batch_id
        required: true
        type: string
      - name: vuln_created_time
        required: true
        유형: 타임스탬프
        timeFormat: '%Y-%m-%d %H:%M:%S.%f000'
  - name: FEATURE_KEY
    required: true
    type: object
    fields:
      - name: name
        required: true
        type: string
      - name: namespace
        required: true
        type: string
      - name: 버전
        required: true
        type: string
  - name: FEATURE_PROPS
    required: true
    type: object
    fields:
      - name: introduced_in
        required: true
        type: string
      - name: layer
        required: true
        type: string
      - name: src
        required: true
        type: string
      - name: version_format
        required: true
        type: string
  - name: FIX_INFO
    required: true
    type: object
    fields:
      - name: compare_result
        required: true
        type: string
      - name: fix_available
        required: true
        type: string
      - name: fixed_version
        required: true
        type: string
  - name: IMAGE_ID
    required: true
    type: string
  - name: START_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: STATUS
    required: true
    type: string

Lacework.DNSQuery

Lacework.DNSQuery는 환경의 모든 DNS 쿼리를 모니터링합니다.

참조: DNSQuery에 대한 Lacework 문서.

fields:
  - name: CREATED_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: DNS_SERVER_IP
    required: true
    type: string
    indicators:
      - ip
  - name: FQDN
    required: true
    type: string
    indicators:
      - domain
  - name: HOST_IP_ADDR
    required: true
    type: string
    indicators:
      - ip
  - name: MID
    required: true
    type: string
  - name: TTL
    required: true
    type: bigint

Lacework.HostVulnDetails

Lacework.HostVulnDetails는 환경 전반의 호스트에 있는 모든 취약점에 대한 세부 정보를 제공합니다.

참조: HostVulnDetails에 대한 Lacework 문서.

fields:
  - name: FIX_INFO
    type: object
    fields:
      - name: compare_result
        required: true
        type: string
      - name: eval_status
        required: true
        type: string
      - name: fix_available
        required: true
        type: string
      - name: fixed_version
        required: true
        type: string
      - name: fixed_version_comparison_infos
        required: true
        type: array
        element:
          type: object
          fields:
            - name: curr_fix_ver
              required: true
              type: string
            - name: is_curr_fix_ver_greater_than_other_fix_ver
              required: true
              type: string
            - name: other_fix_ver
              required: true
              type: string
      - name: fixed_version_comparison_score
        required: true
        type: bigint
      - name: version_installed
        required: true
        type: string
  - name: SEVERITY
    type: string
  - name: STATUS
    type: string
  - name: VULN_ID
    type: string
  - name: CVE_PROPS
    required: true
    type: object
    fields:
      - name: cve_batch_id
        type: string
      - name: 설명
        type: string
      - name: 링크
        type: string
        indicators:
          - URL
  - name: END_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: EVAL_CTX
    required: true
    type: object
    fields:
      - name: data_source
        required: true
        type: string
      - name: hostname
        required: true
        type: string
      - name: mc_eval_guid
        required: true
        type: string
  - name: FEATURE_KEY
    required: true
    type: object
    fields:
      - name: name
        required: true
        type: string
      - name: namespace
        required: true
        type: string
      - name: package_active
        required: true
        type: boolean
      - name: package_path
        required: true
        type: string
      - name: version_installed
        required: true
        type: string
  - name: MACHINE_TAGS
    required: true
    유형: json
  - name: MID
    required: true
    type: string
  - name: START_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'

Lacework.Image

Lacework.Image는 환경의 모든 컨테이너 이미지에 대한 세부 정보를 제공합니다.

참조: Images에 대한 Lacework 문서.

fields:
  - name: CONTAINER_TYPE
    required: true
    type: string
  - name: CREATED_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: IMAGE_ID
    required: true
    type: string
  - name: MID
    required: true
    type: string
  - name: REPO
    required: true
    type: string
  - name: SIZE
    required: true
    type: bigint
  - name: TAG
    required: true
    type: string

Lacework.Interfaces

Lacework.Interfaces는 환경 전반에서 발견된 모든 네트워크 인터페이스를 모니터링합니다.

참조: Interfaces에 대한 Lacework 문서.

fields:
  - name: CREATED_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: HW_ADDR
    required: true
    type: string
  - name: IP_ADDR
    required: true
    type: string
    indicators:
      - ip
  - name: MID
    required: true
    type: string
  - name: NAME
    required: true
    type: string

Lacework.InternalIPA

Lacework.InternalIPA는 환경 전반의 모든 내부 IP 주소를 모니터링합니다.

참조: InternalIPA에 대한 Lacework 문서.

fields:
  - name: END_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: IP_ADDR
    required: true
    type: string
    indicators:
      - ip
  - name: MID
    required: true
    type: string
  - name: START_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'

Lacework.MachineDetails

Lacework.MachineDetails는 환경에서 발견된 모든 머신에 대한 과거 데이터를 집계합니다.

참조: MachineDetails에 대한 Lacework 문서.

fields:
  - name: AWS_INSTANCE_ID
    type: string
    indicators:
      - aws_instance_id
  - name: AWS_ZONE
    type: string
  - name: TAGS
    유형: json
  - name: CREATED_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: DOMAIN
    required: true
    type: string
    indicators:
      - domain
  - name: HOSTNAME
    required: true
    type: string
    indicators:
      - hostname
  - name: KERNEL
    required: true
    type: string
  - name: KERNEL_RELEASE
    required: true
    type: string
  - name: KERNEL_VERSION
    required: true
    type: string
  - name: MID
    required: true
    type: string
  - name: OS
    required: true
    type: string
  - name: OS_VERSION
    required: true
    type: string

Lacework.MachineSummary

Lacework.MachineSummary는 환경의 머신에 대한 세부 정보를 요약하고 집계합니다.

참조: MachineSummary에 대한 Lacework 문서.

fields:
  - name: END_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: ENTITY_TYPE
    required: true
    type: string
  - name: HOSTNAME
    required: true
    type: string
  - name: MACHINE_TAGS
    required: true
    유형: json
  - name: MID
    required: true
    type: string
  - name: PRIMARY_IP_ADDR
    required: true
    type: string
    indicators:
      - ip
  - name: START_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'

Lacework.NewHashes

Lacework.NewHashes는 환경의 모든 새 파일 해시를 추적합니다.

참조: NewHashes에 대한 Lacework 문서.

fields:
  - name: END_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: FILEDATA_HASH
    required: true
    type: string
    indicators:
      - sha256
  - name: START_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'

Lacework.Package

Lacework.Package는 환경의 모든 패키지를 추적합니다.

참조: Packages에 대한 Lacework 문서.

fields:
  - name: ARCH
    required: true
    type: string
  - name: CREATED_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: MID
    required: true
    type: string
  - name: PACKAGE_NAME
    required: true
    type: string
  - name: VERSION
    required: true
    type: string

Lacework.PodSummary

Lacework.PodSummary는 환경의 모든 파드(하나 이상의 컨테이너 모음)를 추적합니다.

참조: PodSummary에 대한 Lacework 문서.

fields:
  - name: END_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: MID
    required: true
    type: string
  - name: POD_NAME
    required: true
    type: string
  - name: PRIMARY_IP_ADDR
    required: true
    type: string
    indicators:
      - ip
  - name: PROPS_CONTAINER
    required: true
    유형: json
  - name: START_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'

Lacework.ProcessSummary

Lacework.ProcessSummary는 환경에서 실행 중인 모든 프로세스를 추적합니다.

참조: ProcessSummary에 대한 Lacework 문서.

fields:
  - name: POD_NAME
    type: string
  - name: CONTAINER_ID
    type: string
  - name: CMDLINE_HASH
    required: true
    type: string
    indicators:
      - md5
  - name: END_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: FILE_PATH
    required: true
    type: string
  - name: MID
    required: true
    type: string
  - name: PID
    required: true
    type: string
  - name: PPID
    required: true
    type: string
  - name: PROCESS_START_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
  - name: START_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
  - name: UID
    required: true
    type: string
  - name: USERNAME
    required: true
    type: string
    indicators:
      - 사용자 이름

Lacework.UserDetails

Lacework.UserDetails는 환경의 모든 사용자에 대한 과거 데이터를 추적합니다.

참조: UserDetails에 대한 Lacework 문서.

fields:
  - name: OTHER_GROUP_NAMES
    type: array
    element:
      type: string
  - name: CREATED_TIME
    required: true
    유형: 타임스탬프
    timeFormat: '%Y-%m-%d %H:%M:%S.%f'
    isEventTime: true
  - name: MID
    required: true
    type: string
  - name: PRIMARY_GROUP_NAME
    required: true
    type: string
  - name: UID
    required: true
    type: string
  - name: USERNAME
    required: true
    type: string
    indicators:
      - 사용자 이름

이전Lacework 알러트 채널 Webhook 다음Material Security 로그

마지막 업데이트 2년 전

도움이 되었나요?