# Lacework 알러트 채널 Webhook
## 개요
구성하여 Lacework 이벤트 로그를 Panther로 수집할 수 있습니다. [사용자 지정 웹훅 알러트 채널](https://docs.lacework.net/onboarding/webhook) 이벤트를 Panther의 [HTTP 소스](/ko/data-onboarding/data-transports/http.md).
다음이 아닌 다른 Lacework 로그 유형을 수집하는 방법에 대한 지침을 찾고 있다면 `Lacework.Events`에 대해, 다음을 참조하세요. [Lacework Export 문서](/ko/data-onboarding/supported-logs/lacework/export.md).
## 알러트 채널 웹훅 로그를 Panther에 온보딩하는 방법
### 1단계: Panther에 Lacework 알러트 채널 웹훅 로그 소스 생성
1. Panther Console의 왼쪽 탐색 표시줄에서 **구성** > **Log Sources를 클릭합니다.**
2. 을 클릭합니다 **새로 만들기**.
3. "Lacework 알러트 Channel Webhook"을 검색한 다음 해당 타일을 클릭합니다.
* 슬라이드아웃 패널에서 **전송 메커니즘** 오른쪽 상단의 드롭다운은 다음 옵션으로 미리 채워집니다. **HTTP** 옵션.
4. 을 클릭합니다 **Start Setup**.
5. 다음을 따르세요 [HTTP 소스를 구성하기 위한 Panther의 지침](/ko/data-onboarding/data-transports/http.md).
* 설정 중 보안 구성 페이지에서 다음을 선택합니다 [bearer authentication](/ko/data-onboarding/data-transports/http.md#bearer). 원형 화살표를 클릭하여 토큰 값을 생성하거나, 직접 제공할 수 있습니다.\
* 이 소스로 전송되는 페이로드는 다음의 적용을 받습니다. [모든 HTTP 소스에 대한 페이로드 요구사항](/ko/data-onboarding/data-transports/http.md#payload-requirements).
* HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.
### 2단계: Lacework가 로그를 Panther HTTP 소스로 푸시하도록 구성합니다
* 다음을 따르세요 [Lacework의 문서](https://docs.lacework.net/onboarding/webhook) 사용자 지정 Webhook 알러트 Channel을 구성합니다.
## 지원되는 로그 유형
### Lacework.Events
Lacework.Events는 내보낸 Lacework 알러트 S3 Object의 내용을 나타냅니다.
참조: [이벤트에 대한 Lacework 문서](https://www.lacework.com/platform/).
{% hint style="info" %}
Lacework 알러트 S3 객체에는 Panther의 `Lacework.Events` 스키마에 아래에 표시된 필드의 일부만 포함되는 경우가 많습니다. 이 스키마의 많은 필드는 예외 상황을 수용하기 위해 포함되었습니다. 예시 페이로드는 [Lacework 문서에서 확인하세요](https://docs.lacework.net/onboarding/webhook).
{% endhint %}
```yaml
- 이름: EVENT_CATEGORY
필수: true
설명: 이벤트가 속하는 범주
유형: string
- 이름: EVENT_DETAILS
필수: true
설명: 이벤트 세부 정보
type: object
필드:
- 이름: data
설명: 이벤트 데이터 배열
유형: array
요소:
type: object
필드:
- 이름: START_TIME
설명: 이벤트 시작 시간.
유형: timestamp
timeFormat: rfc3339
- 이름: END_TIME
설명: 이벤트 종료 시간.
유형: timestamp
timeFormat: rfc3339
- 이름: EVENT_TYPE
설명: 이벤트 유형 설명 예 - 새 바이너리 출시.
유형: string
- 이름: EVENT_ID
설명: 이벤트 알러트 ID.
유형: string
- 이름: EVENT_ACTOR
설명: 이벤트의 출처 예 - AWS, 사용자.
유형: string
- 이름: EVENT_MODEL
설명: 알러트를 유발한 모델.
유형: string
- 이름: ENTITY_MAP
설명: 디택션 알러트와 관련된 필드의 맵.
type: object
필드:
- 이름: User
설명: 알러트와 관련된 모든 사용자 기반 정보.
유형: array
요소:
type: object
필드:
- 이름: MACHINE_HOSTNAME
설명: 호스트명 필드
유형: string
- 이름: USERNAME
설명: 사용자 이름 필드
유형: string
indicators:
- username
- 이름: Application
description: 알러트와 관련된 애플리케이션 기반 정보.
유형: array
요소:
type: object
필드:
- name: APPLICATION
description: 애플리케이션 필드
유형: string
- name: HAS_EXTERNAL_CONNS
description: HasExternalConns 필드
유형: bigint
- name: IS_CLIENT
description: IsClient 필드
유형: bigint
- name: IS_SERVER
description: IsServer 필드
유형: bigint
- name: EARLIEST_KNOWN_TIME
description: EarliestKnownTime 필드
유형: timestamp
timeFormat: rfc3339
- name: 머신
description: 알러트와 관련된 머신 기반 정보.
유형: array
요소:
type: object
필드:
- name: HOSTNAME
설명: 호스트명 필드
유형: string
- name: EXTERNAL_IP
description: ExternalIP 필드
유형: string
indicators:
- ip
- name: INSTANCE_ID
description: InstanceID 필드
유형: string
- name: INSTANCE_NAME
description: InstanceName 필드
유형: string
- name: CPU_PERCENTAGE
description: CPUPercentage 필드
type: float
- name: INTERNAL_IP_ADDR
description: InternalIPAddress 필드
유형: string
indicators:
- ip
- name: IS_EXTERNAL
description: IsExternal 필드
유형: bigint
- name: 컨테이너
description: 알러트와 관련된 컨테이너 기반 정보.
유형: array
요소:
type: object
필드:
- name: IMAGE_REPO
description: ImageRepo 필드
유형: string
- name: IMAGE_TAG
description: ImageTag 필드
유형: string
- name: HAS_EXTERNAL_CONNS
description: HasExternalConns 필드
유형: bigint
- name: IS_CLIENT
description: IsClient 필드
유형: bigint
- name: IS_SERVER
description: IsServer 필드
유형: bigint
- name: FIRST_SEEN_TIME
description: FirstSeenTime 필드
유형: timestamp
timeFormat: rfc3339
- name: POD_NAMESPACE
description: PodNamespace 필드
유형: string
- name: POD_IP_ADDR
description: PodIPAddress 필드
유형: string
indicators:
- ip
- name: DNS 이름
description: 알러트와 관련된 DNS 기반 정보.
유형: array
요소:
type: object
필드:
- name: HOSTNAME
설명: 호스트명 필드
유형: string
- name: PORT_LIST
description: PortList 필드
유형: array
요소:
type: int
- name: TOTAL_IN_BYTES
description: TotalINBytes 필드
type: float
- name: TOTAL_OUT_BYTES
description: TotalOUTBytes 필드
type: float
- name: IP 주소
description: 알러트와 관련된 IP 기반 정보.
유형: array
요소:
type: object
필드:
- name: IP_ADDRESS
설명: SourceIPAddress 필드
유형: string
indicators:
- ip
- name: TOTAL_IN_BYTES
description: TotalINBytes 필드
type: float
- name: TOTAL_OUT_BYTES
description: TotalOUTBytes 필드
type: float
- 이름: THREAT_TAGS
설명: ThreatTags 필드
유형: array
요소:
유형: string
- 이름: THREAT_SOURCE
설명: ThreatSource 필드
유형: json
- 이름: COUNTRY
설명: Country 필드
유형: string
- 이름: REGION
설명: Region 필드
유형: string
- name: PORT_LIST
description: PortList 필드
유형: array
요소:
type: int
- name: FIRST_SEEN_TIME
description: FirstSeenTime 필드
유형: string
- 이름: Process
설명: 알러트와 관련된 모든 프로세스 기반 정보.
유형: array
요소:
type: object
필드:
- name: HOSTNAME
설명: 호스트명 필드
유형: string
- 이름: PROCESS_ID
설명: ProcessID 필드
유형: bigint
- 이름: PROCESS_START_TIME
설명: ProcessStartTime 필드
유형: timestamp
timeFormat: rfc3339
- 이름: CMDLINE
설명: CommandLine 필드
유형: string
- name: CPU_PERCENTAGE
description: CPUPercentage 필드
type: float
- 이름: FileDataHash
설명: 알러트와 관련된 모든 파일 해시 기반 정보.
유형: array
요소:
type: object
필드:
- 이름: FILEDATA_HASH
설명: FiledataHash 필드
유형: string
- 이름: MACHINE_COUNT
설명: MachineCount 필드
유형: bigint
- 이름: EXE_PATH_LIST
설명: EXEPathList 필드
유형: array
요소:
유형: string
- name: FIRST_SEEN_TIME
description: FirstSeenTime 필드
유형: timestamp
timeFormat: rfc3339
- 이름: IS_KNOWN_BAD
설명: ISKnownBad 필드
유형: bigint
- 이름: FileExePath
설명: 모든 실행 파일 경로 정보.
유형: array
요소:
type: object
필드:
- 이름: EXE_PATH
설명: EXEPath 필드
유형: string
- name: FIRST_SEEN_TIME
description: FirstSeenTime 필드
유형: timestamp
timeFormat: rfc3339
- 이름: LAST_FILEDATA_HASH
설명: LastFileDataHash 필드
유형: string
- 이름: LAST_PACKAGE_NAME
설명: LastPackageName 필드
유형: string
- 이름: LAST_VERSION
설명: LastVersion 필드
유형: string
- 이름: LAST_FILE_OWNER
설명: LastFileOwner 필드
유형: string
- 이름: SourceIpAddress
설명: 소스 IP 기반 정보.
유형: array
요소:
type: object
필드:
- name: IP_ADDRESS
설명: SourceIPAddress 필드
유형: string
indicators:
- ip
- 이름: REGION
설명: Region 필드
유형: string
- 이름: COUNTRY
설명: Country 필드
유형: string
- 이름: API
설명: 서비스 및 엔드포인트.
유형: array
요소:
type: object
필드:
- 이름: SERVICE
설명: EventSource 필드
유형: string
- 이름: API
설명: EventName 필드
유형: string
- 이름: Region
설명: 지역 기반 정보.
유형: array
요소:
type: object
필드:
- 이름: REGION
설명: Region 필드
유형: string
- 이름: ACCOUNT_LIST
설명: RecipientAccountID 필드
유형: array
요소:
유형: string
- 이름: CT_User
설명: Cloudtrail 사용자 정보.
유형: array
요소:
type: object
필드:
- 이름: USERNAME
설명: 사용자 이름 필드
유형: string
indicators:
- username
- 이름: ACCOUNT_ID
설명: AccountID 필드
유형: string
- 이름: MFA
설명: MFA 필드
유형: bigint
- 이름: API_LIST
설명: APIList 필드
유형: array
요소:
유형: string
- 이름: REGION_LIST
설명: RegionList 필드
유형: array
요소:
유형: string
- 이름: PRINCIPAL_ID
설명: AccessKeyID 필드
유형: string
- 이름: Resource
설명: Resource 값.
유형: array
요소:
type: object
필드:
- 이름: NAME
설명: Name 필드
유형: string
- 이름: VALUE
설명: Value 필드
유형: string
- 이름: RecId
설명: 수신자 계정 정보.
유형: array
요소:
type: object
필드:
- 이름: REC_ID
설명: RECID 필드
유형: string
- 이름: ACCOUNT_ID
설명: RecipientAccountID 필드
유형: string
- 이름: ACCOUNT_ALIAS
설명: AccountAlias 필드
유형: string
- 이름: TITLE
설명: Title 필드
유형: string
- 이름: STATUS
설명: Status 필드
유형: string
- 이름: EVAL_TYPE
설명: EVALType 필드
유형: string
- 이름: EVAL_GUID
설명: EVALGUID 필드
유형: string
- 이름: Custom룰
설명: Custom 룰 정보.
유형: array
요소:
type: object
필드:
- 이름: LAST_UPDATED_TIME
설명: LastUpdatedTime 필드
유형: timestamp
timeFormat: rfc3339
- 이름: LAST_UPDATED_USER
설명: LastUpdatedUser 필드
유형: string
- 이름: DISPLAY_FILTER
설명: DisplayFilter 필드
유형: string
- name: 룰_GUID
설명: 룰GUID 필드
유형: string
- name: NewViolation
설명: 위반 참조.
유형: array
요소:
type: object
필드:
- 이름: REC_ID
설명: RECID 필드
유형: string
- name: REASON
설명: 사유 필드
유형: string
- name: RESOURCE
설명: 리소스 필드
유형: string
- name: ViolationReason
설명: 위반에 대한 사유.
유형: array
요소:
type: object
필드:
- 이름: REC_ID
설명: RECID 필드
유형: string
- name: REASON
설명: 사유 필드
유형: string
- 이름: SEVERITY
필수: true
설명: 알러트의 심각도 수준
유형: bigint
- 이름: START_TIME
필수: true
설명: 이벤트 시작 시간.
유형: timestamp
timeFormat: strftime=%d %b %Y %H:%M %Z
isEventTime: true
- 이름: SUMMARY
필수: true
설명: 알러트 제목과 간단한 요약
유형: string
- 이름: EVENT_TYPE
필수: true
설명: 이벤트 유형
유형: string
- 이름: EVENT_NAME
필수: true
설명: 이벤트 이름
유형: string
- 이름: LINK
필수: true
설명: 이벤트에 대한 Lacework 대시보드 링크
유형: string
- 이름: EVENT_ID
필수: true
설명: eventID 참조
유형: bigint
- 이름: ACCOUNT
필수: true
설명: 이벤트를 생성한 Lacework 테넌트
유형: string
- 이름: SOURCE
필수: true
설명: 이벤트가 트리거된 데이터 소스
유형: string
```
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.panther.com/ko/data-onboarding/supported-logs/lacework/webhook.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.