# Lacework 알러트 채널 웹훅 ## 개요 Lacework 이벤트 로그를 Panther에 수집하려면 다음을 구성하여 [사용자 지정 웹훅 알러트 채널](https://docs.lacework.net/onboarding/webhook) 이벤트를 Panther에 전송하려면 [HTTP 소스](https://docs.panther.com/ko/data-onboarding/data-transports/http). Lacework의 `Lacework.Events`이외의 Lacework 로그 유형을 수집하는 방법을 찾고 있다면, [Lacework 내보내기 문서](https://docs.panther.com/ko/data-onboarding/supported-logs/lacework/export). ## 알러트 채널 웹훅 로그를 Panther에 온보딩하는 방법 ### 1단계: Panther에서 Lacework 알러트 채널 웹훅 로그 소스 생성 1. Panther 콘솔의 왼쪽 탐색 창에서 **구성** > **로그 소스.** 2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기**. 3. "Lacework Alert Channel Webhook"을 검색한 다음 해당 타일을 클릭하세요. * 슬라이드 아웃 패널에서 **전송 메커니즘** 우측 상단의 드롭다운은 미리 채워진 상태일 것입니다 **HTTP** 옵션. 4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정 시작**.
In the Panther Console, the slideout panel for Lacework Alert Channel Webhook is open. Start Setup is in the upper right corner.
5. 다음을 따르세요 [Panther의 HTTP 소스 구성에 대한 지침](https://docs.panther.com/ko/data-onboarding/data-transports/http). * 설정 중 보안 구성 페이지에서 [베어러 인증](https://docs.panther.com/ko/data-transports/http#bearer)을 선택하세요. 원형 화살표를 클릭하여 토큰 값을 생성하거나 직접 값을 제공할 수 있습니다.\ ![](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-361da8478686d08ae35df333d4e0250cfb450b51%2Fbearer-auth.jpg?alt=media) * 이 소스로 전송된 페이로드는 다음의 적용을 받습니다 [모든 HTTP 소스에 대한 페이로드 요구사항](https://docs.panther.com/ko/data-transports/http#payload-requirements). * HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요. ### 2단계: Lacework가 로그를 Panther HTTP 소스로 푸시하도록 구성 * 다음을 따르세요 [Lacework의 문서](https://docs.lacework.net/onboarding/webhook) 에서 사용자 지정 웹훅 알러트 채널을 구성하세요. ## 지원되는 로그 유형 ### Lacework.Events Lacework.Events는 내보내진 Lacework 알러트 S3 객체의 내용을 나타냅니다. 참고: [이벤트에 대한 Lacework 문서](https://www.lacework.com/platform/). {% hint style="info" %} Lacework 알러트 S3 객체는 종종 Panther의 `Lacework.Events` 스키마에 아래에 표시된 필드의 하위 집합만 포함합니다. 이 스키마의 많은 필드는 엣지 케이스를 수용하기 위해 포함되어 있습니다. 예제 페이로드는 [Lacework 문서](https://docs.lacework.net/onboarding/webhook). {% endhint %} ```yaml - name: EVENT_CATEGORY required: true description: 이벤트가 속하는 카테고리 type: string - name: EVENT_DETAILS required: true 설명: 이벤트 세부사항 type: object 필드: - name: data description: 이벤트 데이터의 배열 type: array element: type: object 필드: - name: START_TIME description: 이벤트 시작 시간. type: timestamp 시간 형식: rfc3339 - name: END_TIME description: 이벤트 종료 시간. type: timestamp 시간 형식: rfc3339 - name: EVENT_TYPE description: 이벤트 유형 설명 예 - 새로운 바이너리 실행. type: string - name: EVENT_ID description: 이벤트 알러트 ID. type: string - name: EVENT_ACTOR description: 이벤트의 출처 예 - AWS, 사용자. type: string - name: EVENT_MODEL description: 알러트를 트리거한 모델. type: string - name: ENTITY_MAP description: 디택션 알러트와 관련된 필드의 맵. type: object 필드: - name: User description: 알러트에 관련된 사용자 기반 정보. type: array element: type: object 필드: - name: MACHINE_HOSTNAME description: 호스트이름 필드 type: string - name: USERNAME description: 사용자이름 필드 type: string 지표: - username - 이름: Application description: 알러트에 관련된 애플리케이션 기반 정보. type: array element: type: object 필드: - name: APPLICATION description: 애플리케이션 필드 type: string - name: HAS_EXTERNAL_CONNS description: HasExternalConns 필드 type: bigint - name: IS_CLIENT description: IsClient 필드 type: bigint - name: IS_SERVER description: IsServer 필드 type: bigint - name: EARLIEST_KNOWN_TIME description: EarliestKnownTime 필드 type: timestamp 시간 형식: rfc3339 - name: Machine description: 알러트에 관련된 머신 기반 정보. type: array element: type: object 필드: - name: HOSTNAME description: 호스트이름 필드 type: string - name: EXTERNAL_IP description: ExternalIP 필드 type: string 지표: - ip - name: INSTANCE_ID description: InstanceID 필드 type: string - name: INSTANCE_NAME description: InstanceName 필드 type: string - name: CPU_PERCENTAGE description: CPUPercentage 필드 type: float - name: INTERNAL_IP_ADDR description: InternalIPAddress 필드 type: string 지표: - ip - name: IS_EXTERNAL description: IsExternal 필드 type: bigint - name: Container description: 알러트에 관련된 컨테이너 기반 정보. type: array element: type: object 필드: - name: IMAGE_REPO description: ImageRepo 필드 type: string - name: IMAGE_TAG description: ImageTag 필드 type: string - name: HAS_EXTERNAL_CONNS description: HasExternalConns 필드 type: bigint - name: IS_CLIENT description: IsClient 필드 type: bigint - name: IS_SERVER description: IsServer 필드 type: bigint - name: FIRST_SEEN_TIME description: FirstSeenTime 필드 type: timestamp 시간 형식: rfc3339 - name: POD_NAMESPACE description: PodNamespace 필드 type: string - name: POD_IP_ADDR description: PodIPAddress 필드 type: string 지표: - ip - name: DnsName description: 알러트에 관련된 DNS 기반 정보. type: array element: type: object 필드: - name: HOSTNAME description: 호스트이름 필드 type: string - name: PORT_LIST description: PortList 필드 type: array element: 유형: int - name: TOTAL_IN_BYTES description: TotalINBytes 필드 type: float - name: TOTAL_OUT_BYTES description: TotalOUTBytes 필드 type: float - name: IpAddress description: 알러트에 관련된 IP 기반 정보. type: array element: type: object 필드: - name: IP_ADDRESS description: SourceIPAddress 필드 type: string 지표: - ip - name: TOTAL_IN_BYTES description: TotalINBytes 필드 type: float - name: TOTAL_OUT_BYTES description: TotalOUTBytes 필드 type: float - name: THREAT_TAGS description: ThreatTags 필드 type: array element: type: string - name: THREAT_SOURCE description: ThreatSource 필드 유형: json - name: COUNTRY description: Country 필드 type: string - name: REGION description: Region 필드 type: string - name: PORT_LIST description: PortList 필드 type: array element: 유형: int - name: FIRST_SEEN_TIME description: FirstSeenTime 필드 type: string - name: Process description: 알러트에 관련된 프로세스 기반 정보. type: array element: type: object 필드: - name: HOSTNAME description: 호스트이름 필드 type: string - name: PROCESS_ID description: ProcessID 필드 type: bigint - name: PROCESS_START_TIME description: ProcessStartTime 필드 type: timestamp 시간 형식: rfc3339 - name: CMDLINE description: CommandLine 필드 type: string - name: CPU_PERCENTAGE description: CPUPercentage 필드 type: float - name: FileDataHash description: 알러트에 관련된 파일해시 기반 정보. type: array element: type: object 필드: - name: FILEDATA_HASH description: FiledataHash 필드 type: string - name: MACHINE_COUNT description: MachineCount 필드 type: bigint - name: EXE_PATH_LIST description: EXEPathList 필드 type: array element: type: string - name: FIRST_SEEN_TIME description: FirstSeenTime 필드 type: timestamp 시간 형식: rfc3339 - name: IS_KNOWN_BAD description: ISKnownBad 필드 type: bigint - name: FileExePath description: 실행 파일 경로에 대한 정보. type: array element: type: object 필드: - name: EXE_PATH description: EXEPath 필드 type: string - name: FIRST_SEEN_TIME description: FirstSeenTime 필드 type: timestamp 시간 형식: rfc3339 - name: LAST_FILEDATA_HASH description: LastFileDataHash 필드 type: string - name: LAST_PACKAGE_NAME description: LastPackageName 필드 type: string - name: LAST_VERSION description: LastVersion 필드 type: string - name: LAST_FILE_OWNER description: LastFileOwner 필드 type: string - name: SourceIpAddress description: 출처 IP 기반 정보. type: array element: type: object 필드: - name: IP_ADDRESS description: SourceIPAddress 필드 type: string 지표: - ip - name: REGION description: Region 필드 type: string - name: COUNTRY description: Country 필드 type: string - name: API description: 서비스 및 엔드포인트. type: array element: type: object 필드: - name: SERVICE description: EventSource 필드 type: string - name: API description: EventName 필드 type: string - name: Region description: 지역 기반 정보. type: array element: type: object 필드: - name: REGION description: Region 필드 type: string - name: ACCOUNT_LIST description: RecipientAccountID 필드 type: array element: type: string - name: CT_User description: Cloudtrail 사용자 정보. type: array element: type: object 필드: - name: USERNAME description: 사용자이름 필드 type: string 지표: - username - name: ACCOUNT_ID description: AccountID 필드 type: string - name: MFA description: MFA 필드 type: bigint - name: API_LIST description: APIList 필드 type: array element: type: string - name: REGION_LIST description: RegionList 필드 type: array element: type: string - name: PRINCIPAL_ID description: AccessKeyID 필드 type: string - name: Resource description: 리소스 값들. type: array element: type: object 필드: - name: NAME 설명: Name 필드 type: string - name: VALUE 설명: Value 필드 type: string - name: RecId description: 수신자 계정 정보. type: array element: type: object 필드: - name: REC_ID description: RECID 필드 type: string - name: ACCOUNT_ID description: RecipientAccountID 필드 type: string - name: ACCOUNT_ALIAS description: AccountAlias 필드 type: string - name: TITLE description: Title 필드 type: string - name: STATUS description: Status 필드 type: string - name: EVAL_TYPE description: EVALType 필드 type: string - name: EVAL_GUID description: EVALGUID 필드 type: string - name: CustomRule description: 사용자 지정 룰 정보. type: array element: type: object 필드: - name: LAST_UPDATED_TIME description: LastUpdatedTime 필드 type: timestamp 시간 형식: rfc3339 - name: LAST_UPDATED_USER description: LastUpdatedUser 필드 type: string - name: DISPLAY_FILTER description: DisplayFilter 필드 type: string - name: RULE_GUID description: RuleGUID 필드 type: string - name: NewViolation description: 위반 참조. type: array element: type: object 필드: - name: REC_ID description: RECID 필드 type: string - name: REASON description: Reason 필드 type: string - name: RESOURCE description: Resource 필드 type: string - name: ViolationReason description: 위반의 이유. type: array element: type: object 필드: - name: REC_ID description: RECID 필드 type: string - name: REASON description: Reason 필드 type: string - name: SEVERITY required: true description: 알러트의 심각도 수준 type: bigint - name: START_TIME required: true description: 이벤트 시작 시간. type: timestamp timeFormat: strftime=%d %b %Y %H:%M %Z isEventTime: true - name: SUMMARY required: true description: 알러트 제목 및 간단한 요약 type: string - name: EVENT_TYPE required: true description: 이벤트의 유형 type: string - name: EVENT_NAME required: true description: 이벤트 이름 type: string - name: LINK required: true description: 이벤트에 대한 Lacework 대시보드 링크 type: string - name: EVENT_ID required: true description: eventID 참조 type: bigint - name: ACCOUNT required: true description: 이벤트를 생성한 Lacework 테넌트 type: string - name: SOURCE required: true description: 이벤트가 트리거된 데이터 소스 type: string ```