# Orca Security 로그 ## 개요 Panther는 수집합니다 [Orca Security ](https://orca.security/)알러트를 Panther HTTP URL로 이벤트를 게시하도록 웹후크를 구성하여 전송합니다. ## Orca Security 로그를 Panther에 온보딩하는 방법 ### 1단계: Panther에서 Orca Security 소스 생성 1. Panther 콘솔의 왼쪽 탐색 창에서 **구성** > **로그 소스**. 2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기**. 3. “Orca Security”를 검색한 다음 해당 타일을 클릭하세요. 4. 슬라이드 아웃 패널에서 클릭하세요 **설정 시작**.

An arrow is drawn from an "Orca Security" tile in the background to a "Start Setup" button on an "Orca Security" panel in the foreground.

5. 다음을 따르세요 [Panther의 HTTP 소스 구성에 대한 지침](https://docs.panther.com/ko/data-transports/http#how-to-set-up-an-http-log-source-in-panther)5단계부터 시작하여. * 의 경우 **인증 방법** , 당신은 를 사용해야 합니다 [Bearer 인증](https://docs.panther.com/ko/data-transports/http#bearer) . 이것은 Orca Security가 지원하는 유일한 인증 방법입니다. * 이 소스로 전송된 페이로드는 다음의 적용을 받습니다 [모든 HTTP 소스에 대한 페이로드 요구사항](https://docs.panther.com/ko/data-transports/http#payload-requirements). * HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요. HTTP 소스를 생성한 후 Panther 콘솔은 HTTP 소스 URL을 표시합니다. 다음 단계에서 필요하니 이 값을 안전한 위치에 보관하세요. ### 2단계: Orca Security에서 새 Panther 통합 생성 1. Orca Security 콘솔에서 다음으로 이동하세요 **설정** > **통합**. 2. 오른쪽 상단의 검색창에서 "Panther"를 검색한 다음, **Panther** 타일에서 **구성**.

Under an "Integrations" header is a Panther box. There is a "Configure" button.

3. 페이지에서 **Panther** 팝업 모달에서 클릭하세요 **Python 함수를 입력한 다음**.

Under a "Panther" header is an empty pop-up modal. There is a "Create" button at the bottom.

4. 에서 **Panther 통합**에서 양식 필드를 작성하세요: * **템플릿 이름**: 설명적인 이름을 입력하세요. 예: `Panther SIEM 통합`. * **트리거 URL**: Panther에서 생성한 HTTP URL을 입력하세요 [1단계](#step-1-create-an-orca-security-source-in-panther). * **API 키**: "Bearer" 다음에 공백을 넣고 Panther에서 생성하거나 입력한 Bearer 토큰을 입력하세요 [1단계](#step-1-create-an-orca-security-source-in-panther)완전한 값은 다음과 같이 보여야 합니다: `Bearer SomeTokenHere`. * Panther AI에게 디택션 조정을 요청하면 일반적으로 **귀하의 Panther 템플릿** , 항목을 사용자화하세요 **본문** 와 **커스텀 헤더** Orca의 필드를 끌어다 놓아 내용을 구성하세요 **Orca 선택적 필드** 섹션의 명령을 실행하세요.

Under a "Panther Integration" header, there are various form fields, including "Template Name" and "Trigger URL."

5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **다음**. 6. 오른쪽 상단에서 클릭하세요 **템플릿 생성**. ### 3단계: Orca Security에서 알러트 전달 자동화 1. Orca 콘솔의 왼쪽 네비게이션 바에서 선택하세요 **자동화**. 2. 다음에서(From the) **Orca 권장 템플릿** 섹션에서 **통합을 통해 알러트 전달**. 3. 페이지에서 **쿼리 생성** 페이지에서 기본값을 업데이트하세요 **쿼리** 원하는 대로 값. * 이 쿼리는 Panther로 전달될 알러트를 결정합니다. 와일드카드(\*), 더 구체적인 값 사용, 조건 추가/삭제가 가능합니다.

Under a "Create New Automation From Suggested Template" is a "Query" field. Its value is, "When an alert Category is * and Provider is * and Orca Risk Level is * and Alert State is *"

4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **다음**. 5. 페이지에서 **자동화 세부사항** 페이지에서 원하는 **자동화 이름**.

Under a "Create New Automation From Suggested Template" header are various form fields, like "Scope," "Automation Name," and "Description." In the bottom right corner are two buttons: Back and Next.

6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **다음**. 7. 페이지에서 **결과 정의** 페이지에서, 아래 **SIEM/SOAR**: 1. 선택하세요 **Panther**. 2. 일반 구성 **Panther 트리거 선택** 드롭다운 필드에서 2단계에서 생성한 Panther 통합을 선택하세요.

Under a "New Automation" header, there are various checkboxes. One checkbox with the label "Panther" is selected.

8. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **Python 함수를 입력한 다음**. ## Panther 관리 디텍션 참조 [Panther 관리](https://docs.panther.com/detections/panther-managed) 에서 Orca Security 룰 [panther-analysis GitHub 리포지토리](https://github.com/panther-labs/panther-analysis/tree/main/rules/orca_rules). ## 지원되는 로그 유형 {% hint style="warning" %} 2026년 1월 1일부터 Orca Security는 그들의 지원을 중단할 예정입니다 `Orca.Alert` 스키마를 대신하여 `Orca.AlertEvent`. 2026년 1월 이전에 통합을 새 `Orca.AlertEvent` 스키마로 업데이트해 주세요. 새 형식에 대한 자세한 내용은 [Orca Security 문서](https://docs.orcasecurity.io/docs/2025-10-29-changes-to-alert-fields-for-integrations-in-the-serving-layer). {% endhint %} ### Orca.AlertEvent ```yaml 스키마: Orca.AlertEvent 설명: Orca Security에서 전송된 알러트 (새 형식) 참조URL: https://orca.security/ 필드: - name: version required: true 설명: 알러트 데이터 형식의 버전 type: string - name: data required: true 설명: 알러트 데이터 페이로드 type: object 필드: - 이름: account_id 설명: 문제가 감지된 클라우드 계정 식별자 type: string 지표: - aws_account_id - 이름: account_name 설명: 클라우드 계정 이름 type: string - 이름: cloud_provider 설명: 클라우드 제공자 이름 (예: aws, azure, gcp) type: string - 이름: cloud_provider_id 설명: 클라우드 제공자 식별자 type: string - name: alert_id 설명: 알러트의 고유 식별자 type: string - 이름: alert_labels 설명: 분류를 위한 알러트에 연결된 라벨 또는 태그 type: array element: type: string - 이름: alert_category required: true 설명: 알러트의 보안 카테고리 (예: 취약점, 구성오류) type: string - 이름: created_at required: true 설명: 알러트가 생성된 타임스탬프 type: timestamp timeFormats: - rfc3339 - '%Y-%m-%dT%H:%M:%S' isEventTime: true - 이름: remediation_cli 설명: CLI를 통한 수정 명령어 type: array element: type: string - 이름: remediation_console 설명: 콘솔 기반 수정 지침 type: array element: type: string - 이름: description required: true 설명: 알러트에 대한 상세 설명 type: string - 이름: details required: true 설명: 알러트에 대한 기술적 세부사항 type: string - 이름: orca_score 설명: Orca 보안 위험 점수 type: float - 이름: recommendation required: true 설명: 문제를 수정하기 위한 권장 조치 type: string - 이름: risk_level 설명: 위험 수준 평가 (예: high, medium, low, critical) type: string - name: source 설명: 알러트 데이터의 출처 (예: 소프트웨어 패키지 이름) type: string - 이름: status 설명: 알러트의 현재 상태 (예: open, closed, resolved) type: string - 이름: type required: true 설명: 알러트 유형 (예: 취약한 소프트웨어, 구성오류) type: string - 이름: last_seen 설명: 문제가 마지막으로 관찰된 타임스탬프 type: timestamp timeFormats: - rfc3339 - '%Y-%m-%dT%H:%M:%S' - 이름: last_updated 설명: 알러트가 마지막으로 업데이트된 타임스탬프 type: timestamp timeFormats: - rfc3339 - '%Y-%m-%dT%H:%M:%S' - 이름: max_cvss_score 설명: 알러트에 있는 취약점의 최대 CVSS 점수 type: float - 이름: rule_type 설명: 알러트를 유발한 룰의 유형 type: string - 이름: auto_remediation_actions 설명: 이 알러트에 대해 사용 가능한 자동 수정 조치 type: array element: type: string - 이름: asset_hostname 설명: 영향을 받은 자산의 호스트명 type: string 지표: - hostname - 이름: asset_name required: true 설명: 영향을 받은 자산 또는 리소스의 이름 type: string - 이름: asset_state 설명: 자산의 현재 상태 (예: running, stopped) type: string - 이름: asset_tags 설명: 키-값 쌍으로 된 자산에 연결된 태그 유형: json - 이름: asset_type required: true 설명: 영향을 받은 자산 유형 (예: vm, container, database) type: string - 이름: asset_unique_id required: true 설명: 영향을 받은 자산의 고유 식별자 type: string - 이름: asset_vpcs 설명: 자산이 연결된 VPC 목록 type: array element: type: string - 이름: cluster_name 설명: 자산이 속한 클러스터 이름 type: string - 이름: cluster_type 설명: 클러스터 유형 (예: Kubernetes, ECS) type: string - 이름: custom_tags 설명: 알러트에 연결된 커스텀 태그 유형: json - 이름: vm_id 설명: 가상머신 식별자 type: string - 이름: asset_category 설명: 영향을 받은 자산의 카테고리 (예: VM, Container) type: string - 이름: asset_labels 설명: 자산에 연결된 라벨 또는 태그 type: array element: type: string - 이름: resource_group_name 설명: 리소스 그룹 이름 type: string - 이름: asset_regions 설명: 자산이 배포된 클라우드 리전 목록 type: array element: type: string - 이름: cve_list 설명: 알러트와 관련된 CVE 식별자 목록 type: array element: type: string 지표: - cve - 이름: related_compliances 설명: 알러트와 관련된 컴플라이언스 표준 목록 type: array element: type: string - 이름: findings 설명: 알러트와 관련된 상세 발견 사항 유형: json - 이름: alert_ui_link 설명: Orca Security UI에서 알러트를 조회하는 URL 링크 type: string 지표: - url ``` ### Orca.Alert (레거시) {% hint style="warning" %} 2026년 1월 1일부터 Orca Security는 그들의 지원을 중단할 예정입니다 `Orca.Alert` 스키마를 대신하여 `Orca.AlertEvent`. 2026년 1월 이전에 통합을 새 `Orca.AlertEvent` 스키마로 업데이트해 주세요. 새 형식에 대한 자세한 내용은 [Orca Security 문서](https://docs.orcasecurity.io/docs/2025-10-29-changes-to-alert-fields-for-integrations-in-the-serving-layer). {% endhint %} ```yaml 스키마: Orca.Alert 설명: Orca Security에서 전송된 알러트 참조URL: https://orca.security/ 필드: - 이름: alert_labels 설명: 분류를 위한 알러트에 연결된 라벨 또는 태그 type: array element: type: string - 이름: alert_source required: true 설명: 알러트를 생성한 소스 시스템 또는 구성요소 type: string - 이름: asset_name required: true 설명: 영향을 받은 자산 또는 리소스의 이름 type: string - 이름: asset_type_string required: true 설명: 사람이 읽을 수 있는 형식의 자산 유형 (예: VM, container, database) type: string - 이름: asset_unique_id required: true 설명: 영향을 받은 자산의 고유 식별자 type: string - name: category required: true 설명: 알러트의 보안 카테고리 (예: 취약점, 구성오류) type: string - 이름: cloud_account_id required: true 설명: 문제가 감지된 클라우드 계정 식별자 type: string - 이름: cluster_unique_id required: true 설명: 자산이 클러스터의 일부인 경우 클러스터의 고유 식별자 type: string - name: configuration required: true 설명: 알러트에 대한 구성 세부정보 및 메타데이터 type: object 필드: - 이름: comments_count 설명: 알러트에 추가된 댓글 수 type: bigint - 이름: status_justification 설명: 현재 상태에 대한 정당성 type: string - 이름: status_reason 설명: 현재 상태의 이유 type: string - 이름: prev_user_status 설명: 사용자가 설정한 이전 상태 type: string - 이름: jira 설명: 이 알러트에 대한 JIRA 통합 세부사항 유형: json - 이름: jira_issue 설명: 관련된 JIRA 이슈 식별자 type: string - 이름: jira_issue_link 설명: 관련된 JIRA 이슈의 URL 링크 type: string - 이름: user_orca_score 설명: 사용자 정의 Orca 위험 점수 type: float - 이름: user_score 설명: 사용자 정의 위험 점수 type: bigint - 이름: service_now_incidents 설명: 이 알러트와 관련된 ServiceNow 인시던트 세부사항 유형: json - 이름: user_status 설명: 사용자가 설정한 상태 type: string - 이름: description required: true 설명: 알러트에 대한 상세 설명 type: string - 이름: details required: true 설명: 알러트에 대한 기술적 세부사항 type: string - 이름: extra_match_data 설명: 패턴 기반 알러트의 추가 매칭 데이터 type: object 필드: - 이름: evidences 설명: 알러트 디텍션을 뒷받침하는 증거 type: object 필드: - 이름: event_ids 설명: 증거와 관련된 이벤트 ID 목록 type: array element: type: string - 이름: pattern_detection_result 설명: 패턴 기반 디텍션의 결과 type: object 필드: - 이름: cloud_account_id 설명: 패턴이 감지된 클라우드 계정 ID type: string - 이름: detected_event_fingerprints 설명: 패턴과 일치하는 감지된 이벤트의 지문 type: array element: type: object 필드: - 이름: common_field 설명: 패턴 매칭에 사용되는 공통 필드 type: string 지표: - aws_arn - 이름: epoch_timestamp 설명: 이벤트가 발생한 타임스탬프 type: timestamp timeFormats: - unix - 이름: eventID 설명: 이벤트의 고유 식별자 type: string - 이름: eventName 설명: 패턴 매칭을 유발한 이벤트 이름 type: string - 이름: organization_id 설명: 패턴이 감지된 조직 ID type: string - 이름: pattern 설명: 알러트를 유발한 패턴 정의 type: object 필드: - 이름: common_field 설명: 패턴 디텍션 전반에 사용되는 공통 필드 type: string - 이름: detections 설명: 디텍션 패턴 목록 type: array element: type: string - 이름: name 설명: 패턴 이름 type: string - 이름: window_size 설명: 패턴 디텍션을 위한 시간 창 크기 type: bigint - 이름: trace_id 설명: 디텍션 프로세스 추적을 위한 트레이스 식별자 type: string - 이름: group_unique_id required: true 설명: 자산이 속한 그룹의 고유 식별자 type: string - 이름: is_compliance required: true 설명: 알러트가 컴플라이언스와 관련이 있는지 여부 유형: boolean - 이름: level required: true 설명: 알러트의 숫자형 심각도 레벨 type: bigint - 이름: live 설명: 알러트가 현재 활성 상태인지 여부 유형: boolean - 이름: organization_id required: true 설명: 조직 식별자 type: string - 이름: recommendation required: true 설명: 문제를 수정하기 위한 권장 조치 type: string - 이름: rule_id required: true 설명: 알러트를 유발한 룰의 식별자 type: string - name: source 설명: 알러트 데이터의 출처 type: string - 이름: state required: true 설명: 알러트에 대한 현재 상태 정보 type: object 필드: - name: alert_id 설명: 알러트의 고유 식별자 type: string - 이름: created_at 설명: 알러트가 생성된 타임스탬프 type: timestamp timeFormats: - rfc3339 isEventTime: true - 이름: last_seen 설명: 문제가 마지막으로 관찰된 타임스탬프 type: timestamp timeFormats: - rfc3339 - 이름: high_since 설명: 알러트가 고심각도였던 시점 이후의 타임스탬프 type: timestamp timeFormats: - rfc3339 - 이름: last_updated 설명: 알러트가 마지막으로 업데이트된 타임스탬프 type: timestamp timeFormats: - rfc3339 - 이름: orca_score 설명: Orca 보안 위험 점수 type: float - 이름: risk_level 설명: 위험 수준 평가 (예: high, medium, low) type: string - 이름: score 설명: 숫자형 위험 점수 type: float - 이름: severity 설명: 알러트의 심각도 수준 type: string - 이름: status 설명: 알러트의 현재 상태 type: string - 이름: status_time 설명: 상태가 마지막으로 변경된 타임스탬프 type: timestamp timeFormats: - rfc3339 - 이름: verification_status 설명: 검증 프로세스의 상태 type: string - 이름: is_new_score 설명: 점수가 최근에 업데이트되었는지 여부 유형: boolean - 이름: closed_time 설명: 알러트가 종료된 타임스탬프 type: timestamp timeFormats: - rfc3339 - 이름: closed_reason 설명: 알러트를 종료한 이유 type: string - 이름: low_since 설명: 알러트가 저심각도였던 시점 이후의 타임스탬프 type: timestamp timeFormats: - rfc3339 - 이름: in_verification 설명: 알러트가 현재 검증 중인지 여부 유형: boolean - 이름: rule_source 설명: 알러트를 유발한 룰의 출처 type: string - 이름: subject_type required: true 설명: 알러트의 영향을 받는 주체 유형 type: string - 이름: type required: true 설명: 알러트의 유형 type: string - 이름: type_key required: true 설명: 알러트 유형의 키 식별자 type: string - 이름: type_string required: true 설명: 사람이 읽을 수 있는 알러트 유형 type: string - 이름: account_name 설명: 클라우드 계정 이름 type: string - 이름: asset_auto_updates 설명: 자산의 자동 업데이트 구성 type: string - 이름: asset_availability_zones 설명: 자산이 배포된 가용 영역 목록 type: array element: type: string - 이름: asset_category 설명: 영향을 받은 자산의 카테고리 type: string - 이름: asset_distribution_major_version 설명: OS 배포의 메이저 버전 type: string - 이름: asset_distribution_name 설명: OS 배포 이름 type: string - 이름: asset_distribution_version 설명: OS 배포의 전체 버전 type: string - 이름: asset_first_private_dnss 설명: 자산의 프라이빗 DNS 이름 목록 type: array element: type: string - 이름: asset_first_private_ips 설명: 자산의 프라이빗 IP 주소 목록 type: array element: type: string 지표: - ip - 이름: asset_first_public_dnss 설명: 자산의 퍼블릭 DNS 이름 목록 type: array element: type: string - 이름: asset_first_public_ips 설명: 자산의 퍼블릭 IP 주소 목록 type: array element: type: string 지표: - ip - 이름: asset_hostname 설명: 영향을 받은 자산의 호스트명 type: string 지표: - hostname - 이름: asset_image_id 설명: 자산에서 사용되는 이미지 ID type: string - 이름: asset_ingress_ports 설명: 자산에서 열린 인그레스 포트 목록 type: array element: type: string - 이름: asset_labels 설명: 자산에 연결된 라벨 또는 태그 type: array element: type: string - 이름: asset_num_private_dnss 설명: 자산의 프라이빗 DNS 이름 수 type: bigint - 이름: asset_num_private_ips 설명: 자산의 프라이빗 IP 주소 수 type: bigint - 이름: asset_num_public_dnss 설명: 자산의 퍼블릭 DNS 이름 수 type: bigint - 이름: asset_num_public_ips 설명: 자산의 퍼블릭 IP 주소 수 type: bigint - 이름: asset_regions 설명: 자산이 배포된 클라우드 리전 목록 type: array element: type: string - 이름: asset_regions_names 설명: 자산이 배포된 리전의 사람이 읽을 수 있는 이름 type: array element: type: string - 이름: asset_role_names 설명: 자산과 연결된 IAM 역할 이름 목록 type: array element: type: string - 이름: asset_state 설명: 자산의 현재 상태 (예: running, stopped) type: string - 이름: asset_stopped 설명: 자산이 현재 중지되었는지 여부 유형: boolean - 이름: asset_tags_info_list 설명: 자산에 연결된 태그 목록 type: array element: type: string - 이름: asset_type 설명: 영향을 받은 자산의 유형 type: string - 이름: asset_vendor_id 설명: 자산에 대한 벤더별 식별자 type: string - 이름: asset_vpcs 설명: 자산이 연결된 VPC 목록 type: array element: type: string - 이름: cloud_account_type 설명: 클라우드 계정 유형 (예: AWS, Azure, GCP) type: string - 이름: cloud_provider 설명: 클라우드 제공자 이름 type: string - 이름: cloud_provider_id 설명: 클라우드 제공자 식별자 type: string 지표: - aws_account_id - 이름: cloud_vendor_id 설명: 벤더별 클라우드 식별자 type: string 지표: - aws_account_id - 이름: cluster_name 설명: 자산이 속한 클러스터 이름 type: string - 이름: cluster_type 설명: 클러스터 유형 (예: Kubernetes, ECS) type: string - 이름: container_id 설명: 컨테이너 식별자 type: string - 이름: container_image_digest 설명: 컨테이너 이미지의 다이제스트 해시 type: string - 이름: container_image_name 설명: 컨테이너 이미지 이름 type: string - 이름: container_image_version 설명: 컨테이너 이미지 버전 type: string - 이름: container_k8s_pod_namespace 설명: 파드의 Kubernetes 네임스페이스 type: string - 이름: container_service_name 설명: 컨테이너 서비스 이름 type: string - 이름: context 설명: 알러트에 대한 컨텍스트 정보 type: string - 이름: cve_list 설명: 알러트와 관련된 CVE 식별자 목록 type: array element: type: string - 이름: cve_resolved 설명: 해결된 CVE 목록 type: array element: 유형: json - name: data 설명: 알러트와 관련된 추가 데이터 유형: json - 이름: earliest_cve_detection 설명: 최초 CVE 탐지의 타임스탬프 type: string - 이름: findings 설명: 알러트와 관련된 상세 발견 사항 type: array element: 유형: json - 이름: group_name 설명: 자산이 속한 그룹의 이름 type: string - 이름: group_type 설명: 그룹 유형 type: string - 이름: group_type_string 설명: 사람이 읽을 수 있는 그룹 유형 type: string - 이름: group_val 설명: 그룹과 관련된 값 type: string - 이름: is_rule 설명: 알러트가 룰에 의해 유발되었는지 여부 유형: boolean - 이름: k8s_cluster_name 설명: Kubernetes 클러스터 이름 type: string - 이름: max_cvss_score 설명: 알러트에 있는 취약점의 최대 CVSS 점수 type: float - 이름: organization_name 설명: 조직 이름 type: string - 이름: related_compliances 설명: 알러트와 관련된 컴플라이언스 표준 목록 type: array element: type: string - 이름: rule_query 설명: 알러트를 유발한 룰에서 사용된 쿼리 type: string - 이름: severity_contributing_factors 설명: 심각도 평가에 기여한 요인들 type: array element: type: string - 이름: severity_reducing_factors 설명: 심각도 평가를 낮춘 요인들 type: array element: type: string - 이름: tags_info_list 설명: 알러트에 연결된 태그 목록 type: array element: type: string - 이름: vm_asset_unique_id 설명: VM 자산의 고유 식별자 type: string - 이름: vm_id 설명: 가상머신 식별자 type: string - 이름: vm_name 설명: 가상 머신 이름 type: string - 이름: container_image_tags 설명: 컨테이너 이미지에 연결된 태그 type: string - 이름: image_manifest_annotations 설명: 이미지 매니페스트의 주석 type: string - 이름: image_repository_uri 설명: 컨테이너 이미지 저장소의 URI type: string - 이름: repository_name 설명: 저장소 이름 type: string - 이름: remediation_cli 설명: CLI를 통한 수정 명령어 type: array element: type: string - 이름: resource_group_name 설명: 리소스 그룹 이름 type: string ```