> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/lacework/webhook.md).
# Lacework 알러트 채널 웹훅
## 개요
구성하여 Lacework Event 로그를 Panther로 수집할 수 있습니다 [사용자 지정 Webhook 알러트 채널](https://docs.lacework.net/onboarding/webhook) Panther에 이벤트를 게시하려면 [HTTP 소스](/ko/data-onboarding/data-transports/http.md).
이외의 Lacework 로그 유형 수집 지침을 찾고 있다면 `Lacework.Events`, 다음을 참조하세요 [Lacework Export 문서](/ko/data-onboarding/supported-logs/lacework/export.md).
## 알러트 채널 Webhook 로그를 Panther에 온보딩하는 방법
### 1단계: Panther에서 Lacework 알러트 채널 Webhook 로그 소스를 생성합니다
1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스.**
2. 다음을 클릭합니다: **새로 만들기**.
3. "Lacework 알러트 채널 Webhook"을 검색한 다음 해당 타일을 클릭합니다.
* 슬라이드아웃 패널에서, **전송 메커니즘** 오른쪽 상단의 드롭다운은 다음 값으로 미리 채워집니다. **HTTP** 옵션.
4. 다음을 클릭합니다: **설정 시작**.
5. 다음을 따르세요 [HTTP Source를 구성하기 위한 Panther의 안내](/ko/data-onboarding/data-transports/http.md).
* 설정 중 보안 구성 페이지에서 다음을 선택합니다 [베어러 인증](/ko/data-onboarding/data-transports/http.md#bearer). 원형 화살표를 클릭하여 토큰 값을 생성하거나 직접 값을 제공할 수 있습니다.\
* 이 소스로 전송되는 페이로드는 [모든 HTTP 소스에 대한 페이로드 요구 사항](/ko/data-onboarding/data-transports/http.md#payload-requirements).
* HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.
### 2단계: Lacework가 Panther HTTP 소스로 로그를 푸시하도록 구성합니다
* 다음을 따르세요 [Lacework 설명서](https://docs.lacework.net/onboarding/webhook) 사용자 지정 Webhook 알러트 채널을 구성하는 방법.
## 지원되는 로그 유형
### Lacework.Events
Lacework.Events는 내보낸 Lacework 알러트 S3 객체의 내용을 나타냅니다.
참조: [이벤트에 대한 Lacework 문서](https://www.lacework.com/platform/).
{% hint style="info" %}
Lacework 알러트 S3 객체에는 Panther의 아래에 표시된 필드 중 일부만 포함되는 경우가 많습니다 `Lacework.Events` 스키마입니다. 이 스키마의 많은 필드는 예외적인 경우를 수용하기 위해 포함되어 있습니다. 예시 페이로드는 다음을 참조하세요 [Lacework 문서](https://docs.lacework.net/onboarding/webhook).
{% endhint %}
```yaml
- name: EVENT_CATEGORY
required: true
description: 이벤트가 속하는 카테고리
type: string
- name: EVENT_DETAILS
required: true
설명: 이벤트 세부 정보
type: object
fields:
- name: data
description: 이벤트 데이터의 배열
type: array
element:
type: object
fields:
- name: START_TIME
description: 이벤트 시작 시간입니다.
type: timestamp
timeFormat: rfc3339
- name: END_TIME
description: 이벤트 종료 시간입니다.
type: timestamp
timeFormat: rfc3339
- name: EVENT_TYPE
description: 이벤트 유형 설명입니다. 예 - 새 바이너리를 실행함.
type: string
- name: EVENT_ID
description: 이벤트 알러트 ID입니다.
type: string
- name: EVENT_ACTOR
description: 이벤트의 출처입니다. 예 - AWS, 사용자.
type: string
- name: EVENT_MODEL
description: 알러트를 트리거한 모델입니다.
type: string
- name: ENTITY_MAP
description: 디택션 알러트와 관련된 필드의 맵입니다.
type: object
fields:
- name: User
description: 알러트와 관련된 모든 사용자 기반 정보입니다.
type: array
element:
type: object
fields:
- name: MACHINE_HOSTNAME
description: 호스트 이름 필드
type: string
- name: USERNAME
description: 사용자 이름 필드
type: string
표시자:
- 사용자명
- 이름: Application
description: 알러트와 관련된 모든 애플리케이션 기반 정보입니다.
type: array
element:
type: object
fields:
- name: APPLICATION
description: 애플리케이션 필드
type: string
- name: HAS_EXTERNAL_CONNS
description: HasExternalConns 필드
type: bigint
- name: IS_CLIENT
description: IsClient 필드
type: bigint
- name: IS_SERVER
description: IsServer 필드
type: bigint
- 이름: EARLIEST_KNOWN_TIME
설명: EarliestKnownTime 필드
type: timestamp
timeFormat: rfc3339
- 이름: Machine
설명: 알러트에 관련된 모든 머신 기반 정보.
type: array
element:
type: object
fields:
- 이름: HOSTNAME
description: 호스트 이름 필드
type: string
- 이름: EXTERNAL_IP
설명: ExternalIP 필드
type: string
표시자:
- ip
- 이름: INSTANCE_ID
설명: InstanceID 필드
type: string
- 이름: INSTANCE_NAME
설명: InstanceName 필드
type: string
- 이름: CPU_PERCENTAGE
설명: CPUPercentage 필드
type: float
- 이름: INTERNAL_IP_ADDR
설명: InternalIPAddress 필드
type: string
표시자:
- ip
- 이름: IS_EXTERNAL
설명: IsExternal 필드
type: bigint
- 이름: Container
설명: 알러트에 관련된 모든 컨테이너 기반 정보.
type: array
element:
type: object
fields:
- 이름: IMAGE_REPO
설명: ImageRepo 필드
type: string
- 이름: IMAGE_TAG
설명: ImageTag 필드
type: string
- name: HAS_EXTERNAL_CONNS
description: HasExternalConns 필드
type: bigint
- name: IS_CLIENT
description: IsClient 필드
type: bigint
- name: IS_SERVER
description: IsServer 필드
type: bigint
- 이름: FIRST_SEEN_TIME
설명: FirstSeenTime 필드
type: timestamp
timeFormat: rfc3339
- 이름: POD_NAMESPACE
설명: PodNamespace 필드
type: string
- 이름: POD_IP_ADDR
설명: PodIPAddress 필드
type: string
표시자:
- ip
- 이름: DnsName
설명: 알러트에 관련된 모든 DNS 기반 정보.
type: array
element:
type: object
fields:
- 이름: HOSTNAME
description: 호스트 이름 필드
type: string
- 이름: PORT_LIST
설명: PortList 필드
type: array
element:
유형: int
- 이름: TOTAL_IN_BYTES
설명: TotalINBytes 필드
type: float
- 이름: TOTAL_OUT_BYTES
설명: TotalOUTBytes 필드
type: float
- 이름: IpAddress
설명: 알러트에 관련된 모든 IP 기반 정보.
type: array
element:
type: object
fields:
- 이름: IP_ADDRESS
설명: SourceIPAddress 필드
type: string
표시자:
- ip
- 이름: TOTAL_IN_BYTES
설명: TotalINBytes 필드
type: float
- 이름: TOTAL_OUT_BYTES
설명: TotalOUTBytes 필드
type: float
- 이름: THREAT_TAGS
설명: ThreatTags 필드
type: array
element:
type: string
- 이름: THREAT_SOURCE
설명: ThreatSource 필드
유형: json
- 이름: COUNTRY
설명: Country 필드
type: string
- name: REGION
설명: Region 필드
type: string
- 이름: PORT_LIST
설명: PortList 필드
type: array
element:
유형: int
- 이름: FIRST_SEEN_TIME
설명: FirstSeenTime 필드
type: string
- 이름: Process
설명: 알러트에 관련된 모든 프로세스 기반 정보.
type: array
element:
type: object
fields:
- 이름: HOSTNAME
description: 호스트 이름 필드
type: string
- 이름: PROCESS_ID
설명: ProcessID 필드
type: bigint
- 이름: PROCESS_START_TIME
설명: ProcessStartTime 필드
type: timestamp
timeFormat: rfc3339
- 이름: CMDLINE
설명: CommandLine 필드
type: string
- 이름: CPU_PERCENTAGE
설명: CPUPercentage 필드
type: float
- 이름: FileDataHash
설명: 알러트와 관련된 파일 해시 기반 정보.
type: array
element:
type: object
fields:
- 이름: FILEDATA_HASH
설명: FiledataHash 필드
type: string
- 이름: MACHINE_COUNT
설명: MachineCount 필드
type: bigint
- 이름: EXE_PATH_LIST
설명: EXEPathList 필드
type: array
element:
type: string
- 이름: FIRST_SEEN_TIME
설명: FirstSeenTime 필드
type: timestamp
timeFormat: rfc3339
- 이름: IS_KNOWN_BAD
설명: ISKnownBad 필드
type: bigint
- 이름: FileExePath
설명: 실행 파일 경로 정보.
type: array
element:
type: object
fields:
- 이름: EXE_PATH
설명: EXEPath 필드
type: string
- 이름: FIRST_SEEN_TIME
설명: FirstSeenTime 필드
type: timestamp
timeFormat: rfc3339
- 이름: LAST_FILEDATA_HASH
설명: LastFileDataHash 필드
type: string
- 이름: LAST_PACKAGE_NAME
설명: LastPackageName 필드
type: string
- 이름: LAST_VERSION
설명: LastVersion 필드
type: string
- 이름: LAST_FILE_OWNER
설명: LastFileOwner 필드
type: string
- 이름: SourceIpAddress
설명: Source IP 기반 정보.
type: array
element:
type: object
fields:
- 이름: IP_ADDRESS
설명: SourceIPAddress 필드
type: string
표시자:
- ip
- name: REGION
설명: Region 필드
type: string
- 이름: COUNTRY
설명: Country 필드
type: string
- 이름: API
설명: 서비스와 엔드포인트.
type: array
element:
type: object
fields:
- 이름: SERVICE
설명: EventSource 필드
type: string
- 이름: API
설명: EventName 필드
type: string
- 이름: Region
설명: 지역 기반 정보.
type: array
element:
type: object
fields:
- name: REGION
설명: Region 필드
type: string
- 이름: ACCOUNT_LIST
설명: RecipientAccountID 필드
type: array
element:
type: string
- 이름: CT_User
설명: CloudTrail 사용자 정보.
type: array
element:
type: object
fields:
- name: USERNAME
description: 사용자 이름 필드
type: string
표시자:
- 사용자명
- 이름: ACCOUNT_ID
설명: AccountID 필드
type: string
- 이름: MFA
설명: MFA 필드
type: bigint
- 이름: API_LIST
설명: APIList 필드
type: array
element:
type: string
- 이름: REGION_LIST
설명: RegionList 필드
type: array
element:
type: string
- 이름: PRINCIPAL_ID
설명: AccessKeyID 필드
type: string
- 이름: Resource
설명: Resource 값들.
type: array
element:
type: object
fields:
- 이름: NAME
설명: 이름 필드
type: string
- 이름: VALUE
설명: Value 필드
type: string
- 이름: RecId
설명: 수신자 계정 정보.
type: array
element:
type: object
fields:
- 이름: REC_ID
설명: RECID 필드
type: string
- 이름: ACCOUNT_ID
설명: RecipientAccountID 필드
type: string
- 이름: ACCOUNT_ALIAS
설명: AccountAlias 필드
type: string
- 이름: TITLE
설명: Title 필드
type: string
- 이름: STATUS
설명: Status 필드
type: string
- 이름: EVAL_TYPE
설명: EVALType 필드
type: string
- 이름: EVAL_GUID
설명: EVALGUID 필드
type: string
- 이름: Custom 룰
설명: Custom 룰 정보.
type: array
element:
type: object
fields:
- 이름: LAST_UPDATED_TIME
설명: LastUpdatedTime 필드
type: timestamp
timeFormat: rfc3339
- 이름: LAST_UPDATED_USER
설명: LastUpdatedUser 필드
type: string
- 이름: DISPLAY_FILTER
설명: DisplayFilter 필드
type: string
- 이름: 룰_GUID
설명: 룰GUID 필드
type: string
- 이름: NewViolation
설명: 위반 참조.
type: array
element:
type: object
fields:
- 이름: REC_ID
설명: RECID 필드
type: string
- 이름: REASON
설명: Reason 필드
type: string
- 이름: RESOURCE
설명: Resource 필드
type: string
- 이름: ViolationReason
설명: 위반의 이유.
type: array
element:
type: object
fields:
- 이름: REC_ID
설명: RECID 필드
type: string
- 이름: REASON
설명: Reason 필드
type: string
- 이름: SEVERITY
required: true
설명: 알러트의 심각도 수준
type: bigint
- name: START_TIME
required: true
description: 이벤트 시작 시간입니다.
type: timestamp
시간 형식: strftime=%d %b %Y %H:%M %Z
isEventTime: true
- 이름: SUMMARY
required: true
설명: 알러트 제목과 간단 요약
type: string
- name: EVENT_TYPE
required: true
설명: 이벤트 유형
type: string
- 이름: EVENT_NAME
required: true
설명: 이벤트 이름
type: string
- 이름: LINK
required: true
설명: 해당 이벤트에 대한 Lacework 대시보드 링크
type: string
- name: EVENT_ID
required: true
설명: eventID 참조
type: bigint
- 이름: ACCOUNT
required: true
설명: 이벤트를 생성한 Lacework 테넌트
type: string
- 이름: SOURCE
required: true
설명: 이벤트가 트리거된 데이터 소스
type: string
```
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:
```
GET https://docs.panther.com/ko/data-onboarding/supported-logs/lacework/webhook.md?ask=&goal=
```
`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.