# Material Security 로그 ## 개요 Panther는 [Material Security](https://material.security/) 로그를 Material에서 이벤트를 Panther의 HTTP 엔드포인트로 전달하도록 Event Subscription을 구성하여 수집합니다. Material Security는 Microsoft 365와 Google Workspace를 위한 통합 이메일 보안, 사용자 행동 분석, 데이터 손실 방지 솔루션입니다. ## **Material Security 로그를 Panther에 온보딩하는 방법** ### 1단계: Panther에 새 Material Security 소스 생성 이 로그를 Panther에 연결하려면: 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 **구성** > **로그 소스**. 2. 를 클릭합니다. **새로 만들기**. 3. “Material Security”를 검색한 다음 해당 타일을 클릭합니다. 4. 를 클릭합니다. **설정 시작**. 5. Panther의 [HTTP Source 구성 지침을 따르세요](https://docs.panther.com/data-onboarding/data-transports/http#how-to-set-up-an-http-log-source-in-panther), 5단계부터 시작합니다. * 에서 **인증 방식** 드롭다운 필드에서 **Bearer**. * 이 소스로 전송되는 페이로드는 [모든 HTTP 소스에 대한 페이로드 요구사항](https://docs.panther.com/data-onboarding/data-transports/http#payload-requirements). * 의 적용을 받습니다. ### 2단계: Material Security에서 Event Subscription 생성 1. Material Security 테넌트에 로그인합니다. 2. 상단 도구 모음에서 **통합**. 3. 까지 아래로 스크롤한 다음 **SIEM**을 클릭한 후 **Panther**. 4. 다음 필드에 값을 입력합니다: * **메서드**: 다음으로 설정 **POST** * **URI**: Panther HTTP 소스 * **헤더**: Panther의 [1단계](#step-1-create-a-new-material-security-source-in-panther) * 에서 입력했거나 생성한 bearer 토큰을 추가합니다. `예: { "Authorization": "Bearer " }` 5. **이벤트**: `Issue Change` 및 `Audit Log Updated` 는 기본적으로 미리 구성되어 있습니다. * 기본적으로 웹훅은 모든 issue change가 발생할 때 **또는** 감사 로그가\ 업데이트될 때 트리거됩니다. * 선택적으로 **Issue Change** 이벤트 행을 클릭하여 편집할 수 있습니다. * 필요에 따라 상태, 심각도 및/또는 탐지를 기준으로 `Issue Change` 추가 필터링하는 것을 고려하세요. * 박스를 확인하여 `피싱 사례에서 메시지가 추가/삭제/상호작용된 이벤트 포함` 더 높은 볼륨과 더 민감한 페이로드에만 활성화하세요. 6. 를 클릭합니다. **저장**. ## 지원되는 로그 유형 ### Material.CaseCreated ```yaml 스키마: Material.NewCaseCreated 설명: Material에서 생성된 케이스 참조URL: https://material.security/ 필드: - 이름: caseCreated 유형: object 필드: - 이름: _internal 유형: object 필드: - 이름: internalAllMarks 유형: array 요소: 유형: object 필드: - 이름: markedBy 유형: object 필드: - 이름: acctEmail 유형: string 지표: - email - 이름: acctId 유형: string - 이름: csp 유형: string - 이름: isAdmin 유형: boolean - 이름: uAcctId 유형: string - 이름: userReport 유형: object 필드: - 이름: job 유형: object 필드: - 이름: jobId 유형: string - 이름: jobType 유형: string - 이름: reportedInMsftReportMsgAddin 유형: boolean - 이름: reportedInOutlookAddin 유형: boolean - 이름: labelName 유형: string - 이름: reportedStub 유형: boolean - 이름: ruleMatch 유형: object 필드: - 이름: id 유형: string - 이름: markedAt 유형: string - 이름: internalMark 유형: object 필드: - 이름: markedBy 유형: object 필드: - 이름: acctEmail 유형: string - 이름: acctId 유형: string - 이름: csp 유형: string - 이름: isAdmin 유형: boolean - 이름: uAcctId 유형: string - 이름: userReport 유형: object 필드: - 이름: job 유형: object 필드: - 이름: jobId 유형: string - 이름: jobType 유형: string - 이름: reportedInMsftReportMsgAddin 유형: boolean - 이름: reportedInOutlookAddin 유형: boolean - 이름: labelName 유형: string - 이름: reportedStub 유형: boolean - 이름: ruleMatch 유형: object 필드: - 이름: id 유형: string - 이름: markedAt 유형: string - 이름: caseId 유형: string - 이름: createdAt 유형: timestamp 시간 형식: - rfc3339 - 이름: createdBy 유형: object 필드: - 이름: system 유형: boolean - 이름: mark 유형: object 필드: - 이름: userReport 유형: object 필드: - 이름: reportingMethod 유형: string - 이름: ruleMatch 유형: object 필드: - 이름: ruleId 유형: string - 이름: ruleName 유형: string - 이름: ruleProvenanceType 유형: string - 이름: markType 유형: string - 이름: markedAt 유형: timestamp 시간 형식: - rfc3339 - 이름: markedBy 유형: object 필드: - 이름: actor 유형: object 필드: - 이름: acctEmail 유형: string 지표: - email - 이름: acctId 유형: string - 이름: csp 유형: string - 이름: isAdmin 유형: boolean - 이름: uAcctId 유형: string - 이름: system 유형: boolean - 이름: messageId 유형: string - 이름: eventId 유형: string - 이름: forCase 유형: object 필드: - 이름: caseId 유형: string - 이름: info 유형: object 필드: - 이름: remedyHistory 유형: array 요소: 유형: object 필드: - 이름: reason 유형: object 필드: - 이름: userReport 유형: object 필드: - 이름: global 유형: boolean - 이름: 룰 유형: object 필드: - 이름: ruleId 유형: string - 이름: remedy 유형: object 필드: - 이름: markSpam 유형: object 필드: - 이름: selected 유형: boolean - 이름: vaxAllow 유형: object 필드: - 이름: selected 유형: boolean - 이름: vaxDeny 유형: object 필드: - 이름: selected 유형: boolean - 이름: vaxTeach 유형: object 필드: - 이름: message 유형: string - 이름: selected 유형: boolean - 이름: vaxBanner 유형: object 필드: - 이름: message 유형: string - 이름: selected 유형: boolean - 이름: reporterAcknowledgementConfig 유형: object 필드: - 이름: acknowledgeNewReporters 유형: boolean - 이름: acknowledgePreviousReporters 유형: boolean - 이름: acknowledgementMessage 유형: string - 이름: id 유형: string - 이름: type 유형: string - 이름: version 유형: string - 이름: judgedBy 유형: string - 이름: caseAnalysis 유형: object 필드: - 이름: caseId 유형: string - 이름: completedAt 유형: timestamp 시간 형식: - rfc3339 - 이름: judgement 유형: string - 이름: reasons 유형: array 요소: 유형: string - 이름: type 유형: string - 이름: caseAnalysisHistory 유형: array 요소: 유형: object 필드: - 이름: caseId 유형: string - 이름: completedAt 유형: timestamp 시간 형식: - rfc3339 - 이름: judgement 유형: string - 이름: reasons 유형: array 요소: 유형: string - 이름: type 유형: string - 이름: recommendedJudgementCategory 유형: string - 이름: orgId 유형: string - 이름: caseId 유형: string - 이름: closedStatus 유형: string - 이름: createdAt 유형: timestamp 시간 형식: - rfc3339 - 이름: hasNovelDomain 유형: boolean - 이름: hasNovelSender 유형: boolean - 이름: isHistorical 유형: boolean - 이름: isShadow 유형: boolean - 이름: judgedAt 유형: string - 이름: judgementCategory 유형: string - 이름: judgementHistory 유형: array 요소: 유형: object 필드: - 이름: judgedBy 유형: string - 이름: recommendedJudgementCategory 유형: string - 이름: judgedAt 유형: timestamp 시간 형식: - rfc3339 - 이름: judgementCategory 유형: string - 이름: judgementReason 유형: object 필드: - 이름: default 유형: boolean - 이름: adminReport 유형: boolean - 이름: caseClassification 유형: boolean - 이름: modelName 유형: string - 이름: modelVersion 유형: string - 이름: reasons 유형: array 요소: 유형: string - 이름: score 유형: float - 이름: 룰 유형: object 필드: - 이름: custom 유형: object 필드: - 이름: ruleId 유형: string - 이름: builtIn 유형: object 필드: - 이름: ruleId 유형: string - 이름: judgementReason 유형: object 필드: - 이름: default 유형: boolean - 이름: adminReport 유형: boolean - 이름: caseClassification 유형: boolean - 이름: modelName 유형: string - 이름: modelVersion 유형: string - 이름: reasons 유형: array 요소: 유형: string - 이름: score 유형: float - 이름: 룰 유형: object 필드: - 이름: custom 유형: object 필드: - 이름: ruleId 유형: string - 이름: builtIn 유형: object 필드: - 이름: ruleId 유형: string - 이름: newMarkedMessagesCount 유형: bigint - 이름: newSimilarMessagesCount 유형: bigint - 이름: remediateSimilarMessages 유형: boolean - 이름: remedy 유형: object 필드: - 이름: reason 유형: object 필드: - 이름: userReport 유형: object 필드: - 이름: global 유형: boolean - 이름: 룰 유형: object 필드: - 이름: ruleId 유형: string - 이름: remedy 유형: object 필드: - 이름: vaxTeach 유형: object 필드: - 이름: message 유형: string - 이름: selected 유형: boolean - 이름: markSpam 유형: object 필드: - 이름: selected 유형: boolean - 이름: vaxDeny 유형: object 필드: - 이름: selected 유형: boolean - 이름: vaxBanner 유형: object 필드: - 이름: message 유형: string - 이름: selected 유형: boolean - 이름: vaxAllow 유형: object 필드: - 이름: selected 유형: boolean - 이름: reporterAcknowledgementConfig 유형: object 필드: - 이름: acknowledgeNewReporters 유형: boolean - 이름: acknowledgePreviousReporters 유형: boolean - 이름: acknowledgementMessage 유형: string - 이름: id 유형: string - 이름: type 유형: string - 이름: version 유형: string - 이름: reviewedStatus 유형: string - 이름: shouldInvestigate 유형: boolean - 이름: updatedAt 유형: timestamp 시간 형식: - rfc3339 - 이름: status 유형: object 필드: - 이름: caseId 유형: string - 이름: createdAt 유형: timestamp 시간 형식: - rfc3339 - 이름: investigation 유형: object 필드: - 이름: override 유형: object 필드: - 이름: createdAt 유형: timestamp 시간 형식: - rfc3339 - 이름: isShadow 유형: boolean - 이름: remedy 유형: object 필드: - 이름: reason 유형: object 필드: - 이름: userReport 유형: object 필드: - 이름: global 유형: boolean - 이름: 룰 유형: object 필드: - 이름: ruleId 유형: string - 이름: remedy 유형: object 필드: - 이름: vaxTeach 유형: object 필드: - 이름: message 유형: string - 이름: selected 유형: boolean - 이름: markSpam 유형: object 필드: - 이름: selected 유형: boolean - 이름: vaxDeny 유형: object 필드: - 이름: selected 유형: boolean - 이름: vaxBanner 유형: object 필드: - 이름: message 유형: string - 이름: selected 유형: boolean - 이름: vaxAllow 유형: object 필드: - 이름: selected 유형: boolean - 이름: reporterAcknowledgementConfig 유형: object 필드: - 이름: acknowledgeNewReporters 유형: boolean - 이름: acknowledgePreviousReporters 유형: boolean - 이름: acknowledgementMessage 유형: string - 이름: id 유형: string - 이름: type 유형: string - 이름: version 유형: string - 이름: remedyHistory 유형: array 요소: 유형: object 필드: - 이름: reason 유형: object 필드: - 이름: userReport 유형: object 필드: - 이름: global 유형: boolean - 이름: 룰 유형: object 필드: - 이름: ruleId 유형: string - 이름: remedy 유형: object 필드: - 이름: vaxTeach 유형: object 필드: - 이름: message 유형: string - 이름: selected 유형: boolean - 이름: markSpam 유형: object 필드: - 이름: selected 유형: boolean - 이름: vaxDeny 유형: object 필드: - 이름: selected 유형: boolean - 이름: vaxBanner 유형: object 필드: - 이름: message 유형: string - 이름: selected 유형: boolean - 이름: vaxAllow 유형: object 필드: - 이름: selected 유형: boolean - 이름: reporterAcknowledgementConfig 유형: object 필드: - 이름: acknowledgeNewReporters 유형: boolean - 이름: acknowledgePreviousReporters 유형: boolean - 이름: acknowledgementMessage 유형: string - 이름: id 유형: string - 이름: type 유형: string - 이름: version 유형: string - 이름: reviewed 유형: object 필드: - 이름: status 유형: string - 이름: forMessage 유형: object 필드: - 이름: json 유형: object 필드: - 이름: inReplyTo 유형: string - 이름: sender 유형: string - 이름: xMailer 유형: string - 이름: inReplyTos 유형: array 요소: 유형: string - 이름: references 유형: array 요소: 유형: string - 이름: rawReplyTo 유형: array 요소: 유형: string - 이름: replyTo 유형: array 요소: 유형: string - 이름: dkim 유형: string - 이름: dmarc 유형: string - 이름: spf 유형: string - 이름: received 유형: array 요소: 유형: string - 이름: acctEmail 유형: string 지표: - email - 이름: acctId 유형: string - 이름: attachmentIds 유형: array 요소: 유형: string - 이름: attachmentMimes 유형: array 요소: 유형: string - 이름: attachmentNames 유형: array 요소: 유형: string - 이름: attachments 유형: array 요소: 유형: object 필드: - 이름: attachId 유형: string - 이름: filename 유형: string - 이름: md5 유형: string 지표: - md5 - 이름: mime 유형: string - 이름: sha256 유형: string 지표: - sha256 - 이름: size 유형: bigint - 이름: store 유형: string - 이름: date 유형: timestamp 시간 형식: - rfc3339 - 이름: from 유형: string - 이름: headers 유형: array 요소: 유형: object 필드: - 이름: k 유형: string - 이름: v 유형: string - 이름: host 유형: string - 이름: hostDate 유형: timestamp 시간 형식: - rfc3339 - 이름: hostFlags 유형: object 필드: - 이름: isDraft 유형: boolean - 이름: isInbox 유형: boolean - 이름: isRetrieved 유형: boolean - 이름: isSent 유형: boolean - 이름: isSpam 유형: boolean - 이름: isTrash 유형: boolean - 이름: isUnread 유형: boolean - 이름: hostMsgId 유형: string - 이름: hostTags 유형: array 요소: 유형: string - 이름: hostThreadId 유형: string - 이름: isDiagnostic 유형: boolean - 이름: isPurgatoryV2 유형: boolean - 이름: isStub 유형: boolean - 이름: links 유형: array 요소: 유형: object 필드: - 이름: text 유형: string - 이름: href 유형: string - 이름: messageId 유형: string - 이름: numAttachments 유형: bigint - 이름: parts 유형: array 요소: 유형: object 필드: - 이름: attachmentType 유형: string - 이름: attachId 유형: string - 이름: filename 유형: string - 이름: md5 유형: string 지표: - md5 - 이름: sha256 유형: string 지표: - sha256 - 이름: store 유형: string - 이름: text 유형: string - 이름: headers 유형: array 요소: 유형: object 필드: - 이름: k 유형: string - 이름: v 유형: string - 이름: mime 유형: string - 이름: path 유형: string - 이름: size 유형: bigint - 이름: rawFrom 유형: array 요소: 유형: string - 이름: rawTo 유형: array 요소: 유형: string - 이름: receivedDates 유형: array 요소: 유형: timestamp 시간 형식: - rfc3339 - 이름: snippet 유형: string - 이름: snippetMime 유형: string - 이름: subject 유형: string - 이름: to 유형: array 요소: 유형: string - 이름: totalSize 유형: bigint - 이름: uDomainId 유형: string - 이름: key 유형: array 요소: 유형: string - 이름: getMaterialBaseUrl 유형: object 필드: - 이름: url 유형: string 지표: - url - 이름: timestamp 유형: timestamp 시간 형식: - rfc3339 isEventTime: true ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/material-security.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.