Osquery 로그

개요

Panther는 일반적인 데이터 전송 옵션을 통해 Osquery 로그 수집을 지원합니다: HTTP 소스, Amazon Web Services (AWS) S3, SQS 및 CloudWatch.

Osquery 로그를 Panther에 온보딩하는 방법

이 로그를 Panther에 연결하려면:

1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.

3. "Osquery"를 검색한 다음 해당 타일을 클릭하세요.

4. 슬라이드 아웃 패널에서 다음을 선택하십시오 전송 메커니즘 이 통합에 사용할 항목.

5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정 시작.

6. 선택한 데이터 전송 방법을 구성하기 위한 Panther의 지침을 따르십시오:

   • HTTP

     • 이 소스로 전송된 페이로드는 다음의 적용을 받습니다 모든 HTTP 소스에 대한 페이로드 요구사항.

     • HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.

   • AWS CloudWatch

   • AWS SQS

   • AWS S3 버킷

7. Osquery를 구성하여 로그를 Data Transport 소스로 푸시하세요.

   • 선택한 Data Transport 소스로 로그를 푸시하는 방법은 Osquery 문서를 참조하세요.

Panther-내장 디텍션

Panther의 내장된 Osquery 룰을 Github의 panther-analysis에서 확인하세요.

지원되는 로그 유형

Osquery.Batch

Batch에는 Osquery 배치 로그에 포함된 모든 데이터가 포함됩니다.

참고: Osquery 로깅에 대한 문서. (Batch 형식 섹션으로 스크롤)

Osquery.Differential

Differential에는 Osquery 차분 로그에 포함된 모든 데이터가 포함됩니다.

참고: Osquery 로깅에 대한 문서. (Differential 로그 섹션으로 스크롤)

Osquery.Snapshot

Snapshot에는 Osquery 차분 로그에 포함된 모든 데이터가 포함됩니다.

참고: Osquery 로깅에 대한 문서. (Snapshot 로그 섹션으로 스크롤)

Osquery.Status

Status는 데몬에 대한 진단용 osquery 로그입니다.

참고: Osquery 로깅에 대한 문서. (Status 로그 섹션으로 스크롤)