OpenAI 로그 (Beta)

Panther는 OpenAI에서 로그를 직접 가져오는 것을 지원합니다

개요

OpenAI 로그 수집은 오픈 베타 상태이며 Panther 버전 1.117부터 시작되어 모든 고객이 사용할 수 있습니다. 버그 보고서와 기능 요청은 Panther 지원 팀에 공유해 주세요.

Panther는 OpenAI 를 쿼리하여 감사 로그를 가져올 수 있습니다. OpenAI Audit Logs API. Panther는 1분마다 Audit Logs API를 쿼리합니다. Panther가 API에 액세스하려면 적절한 권한이 있는 새 OpenAI Admin 키를 생성해야 합니다.

일반적인 OpenAI 감사 로그 이벤트 유형

감사 로그 이벤트 유형의 전체 목록 보기 여기. 일반적인 이벤트는 다음과 같습니다:

api_key.created
api_key.updated
api_key.deleted
project.created
project.updated
project.deleted
user.added
user.updated
user.deleted
service_account.created
service_account.updated
service_account.deleted

OpenAI 로그를 Panther에 온보딩하는 방법

사전 요구 사항

조직 소유자 또는 관리자로 OpenAI에 로그인되어 있습니다. 이는 1단계를 완료하는 데 필요합니다.
OpenAI 조직 설정에서 Audit Logging이 활성화되어 있어야 합니다:
1. 다음으로 이동합니다 Organization > Data controls > Data retention OpenAI 계정에서: 조직 데이터 보존 설정
2. 활성화 Audit Logging.
  - 성공적으로 활성화되면 옵션에 Active 가 녹색 체크 표시와 함께 표시됩니다.

1단계: 새 OpenAI Admin 키 생성

최소 권한 원칙에 따라 감사 로그에 대한 읽기 전용 권한이 있는 Admin 키를 사용하는 것이 좋습니다.

OpenAI 계정에서 다음으로 이동합니다 Settings > Organization > Admin keys.
클릭 Create new admin key.
키에 대한 설명이 포함된 이름을 입력합니다. 예: Panther Audit Log Access.
키 권한 구성:
- Permissions: 다음으로 설정 Read-only (또는 키에 감사 로그에 대한 읽기 액세스 권한이 있는지 확인).
- 키가 다음에 대한 액세스 권한을 갖고 있는지 확인합니다 Audit Logs 리소스.
다음을 복사합니다 Admin key value 그리고 안전한 위치에 저장합니다. 다음 단계에서 필요합니다.
- OpenAI는 이 값을 다시 표시하지 않습니다.

2단계: Panther에서 새 OpenAI 소스 생성

Panther Console의 왼쪽 탐색 모음에서 다음을 클릭합니다 Configure > Log Sources.
클릭 Create New.
"OpenAI"를 검색한 다음 해당 타일을 클릭합니다.
슬라이드아웃 패널에서 다음을 클릭합니다 Start Setup.
의 Configuration 페이지에서 설명이 포함된 Name을(를) 입력합니다. 예: My OpenAI Audit Logs.
- 다음 Log Types 읽기 전용 드롭다운에는 OpenAI.Audit 값이 있습니다.
클릭 Setup.
의 Credentials 페이지에서 API Key 필드에 1단계에서 생성한 Admin 키를 입력합니다.
클릭 Setup.
- Panther가 OpenAI API에 성공적으로 연결할 수 있음을 확인하는 검증 화면으로 이동하게 됩니다.
  - 선택적으로 하나 이상의 디택션 Packs를 활성화할 수 있습니다.
  - 다음 이벤트가 처리되지 않을 때 알러트를 트리거 설정의 기본값은 예입니다. 일정 시간이 지난 후 로그 소스에서 데이터 흐름이 중지되면 알림을 받게 되므로 이 설정을 활성화된 상태로 두는 것을 권장합니다. 기간은 구성 가능하며 기본값은 24시간입니다.

사용자 지정 디택션 패턴

API 키 생성 모니터링 예시

OpenAI 조직에서 새 API 키가 생성될 때를 모니터링합니다:

def 룰(event):
    return event.get('type') == 'api_key.created'

def title(event):
    actor_email = event.deep_get('actor', 'user', 'email', default='Unknown')
    return f'{actor_email}에 의해 새 OpenAI API 키가 생성됨'

관리 사용자 변경 예시

사용자가 추가되거나 역할이 수정될 때를 디택션합니다:

def 룰(event):
    event_type = event.get('type', '')
    return event_type in ['user.added', 'user.updated']

def severity(event):
    # 역할 변경에 대해 더 높은 심각도
    if event.get('type') == 'user.updated':
        return 'MEDIUM'
    return 'INFO'

프로젝트 삭제 모니터링 예시

프로젝트가 삭제될 때 알러트:

def 룰(event):
    return event.get('type') == 'project.deleted'

def 알러트_context(event):
    return {
        'actor_email': event.deep_get('actor', 'user', 'email'),
        'project_id': event.deep_get('project', 'id'),
        'project_name': event.deep_get('project', 'name'),
        'timestamp': event.get('effective_at')
    }

지원되는 로그 유형

OpenAI.AuditLogs

OpenAI 감사 로그는 API 키 관리, 프로젝트 변경, 사용자 작업 및 액세스 제어 수정 등을 포함하여 OpenAI 조직 내의 관리 및 보안 관련 이벤트를 추적합니다.

참조: OpenAI Audit Logs API 문서

schema: OpenAI.Audit
description: |
    OpenAI 감사 로그는 OpenAI 조직 내의 관리 작업 및 보안 이벤트에 대한 가시성을 제공합니다. 이러한 로그는 API 키 사용, 프로젝트 관리 및 사용자 액세스 제어를 추적하는 데 도움이 됩니다.
referenceURL: https://platform.openai.com/docs/api-reference/audit-logs
fields:
    - name: id
      required: true
      description: 감사 로그 이벤트의 고유 식별자
      type: string
    - name: type
      required: true
      description: 발생한 이벤트의 유형
      type: string
    - name: effective_at
      required: true
      description: 이벤트가 발생한 시점의 Unix 타임스탬프(초)
      type: timestamp
      timeFormat: unix
      isEventTime: true
    - name: actor
      description: 작업을 수행한 엔터티
      type: object
      fields:
        - name: type
          description: 액터의 유형(예: user, service_account, system)
          type: string
        - name: user
          description: 작업을 수행한 사용자에 대한 세부 정보
          type: object
          fields:
            - name: id
              description: 사용자의 고유 식별자
              type: string
            - name: email
              description: 사용자의 이메일 주소
              type: string
              indicators:
                - email
        - name: service_account
          description: 작업을 수행한 서비스 계정에 대한 세부 정보
          type: object
          fields:
            - name: id
              description: 서비스 계정의 고유 식별자
              type: string
        - name: api_key
          description: 작업 수행에 사용된 API 키에 대한 세부 정보
          type: object
          fields:
            - name: id
              description: API 키의 고유 식별자
              type: string
            - name: type
              description: API 키의 유형
              type: string
            - name: user
              description: API 키와 연결된 사용자
              type: object
              fields:
                - name: id
                  description: 사용자의 고유 식별자
                  type: string
                - name: email
                  description: 사용자의 이메일 주소
                  type: string
                  indicators:
                    - email
            - name: service_account
              description: API 키와 연결된 서비스 계정
              type: object
              fields:
                - name: id
                  description: 서비스 계정의 고유 식별자
                  type: string
    - name: project
      description: 작업의 영향을 받은 프로젝트에 대한 세부 정보
      type: object
      fields:
        - name: id
          description: 프로젝트의 고유 식별자
          type: string
        - name: name
          description: 프로젝트 이름
          type: string
    - name: api_key
      description: 작업의 영향을 받은 API 키에 대한 세부 정보
      type: object
      fields:
        - name: id
          description: API 키의 고유 식별자
          type: string
        - name: type
          description: API 키의 유형
          type: string
        - name: user
          description: API 키와 연결된 사용자
          type: object
          fields:
            - name: id
              description: 사용자의 고유 식별자
              type: string
            - name: email
              description: 사용자의 이메일 주소
              type: string
              indicators:
                - email
        - name: service_account
          description: API 키와 연결된 서비스 계정
          type: object
          fields:
            - name: id
              description: 서비스 계정의 고유 식별자
              type: string
    - name: user
      description: 작업의 영향을 받은 사용자에 대한 세부 정보
      type: object
      fields:
        - name: id
          description: 사용자의 고유 식별자
          type: string
        - name: email
          description: 사용자의 이메일 주소
          type: string
          indicators:
            - email
        - name: role
          description: 조직 내 사용자의 역할
          type: string
    - name: service_account
      description: 작업의 영향을 받은 서비스 계정에 대한 세부 정보
      type: object
      fields:
        - name: id
          description: 서비스 계정의 고유 식별자
          type: string
        - name: name
          description: 서비스 계정 이름
          type: string

이전OneLogin 로그 다음Orca Security 로그

마지막 업데이트 15일 전

도움이 되었나요?