Osquery 로그

Osquery 로그를 Panther Console에 연결하기

개요

Panther는 일반적인 방식으로 Osquery 로그 수집을 지원합니다 데이터 전송 옵션: HTTP Source, Amazon Web Services(AWS) S3, SQS, 그리고 CloudWatch.

Osquery 로그를 Panther에 온보딩하는 방법

이 로그를 Panther에 연결하려면:

Panther Console의 왼쪽 탐색 모음에서 구성하세요. > 로그 소스.
을 클릭한 다음 새로 만들기.
"Osquery"를 검색한 다음 해당 타일을 클릭합니다.
슬라이드아웃 패널에서 전송 메커니즘 이 통합에 사용할 방식을 선택하세요.
을 클릭한 다음 설정 시작.
선택한 데이터 전송 방법을 구성하기 위한 Panther의 지침을 따르세요:
- HTTP
  - 이 소스로 전송되는 페이로드는 다음의 적용을 받습니다 모든 HTTP 소스에 대한 페이로드 요구 사항.
  - HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.
- AWS CloudWatch
- AWS SQS
- AWS S3 버킷
Osquery가 Data Transport source로 로그를 전송하도록 구성합니다.
- 선택한 Data Transport source로 로그를 전송하는 방법은 Osquery 문서를 참조하세요.

Panther에서 제작한 탐지 규칙

Panther에 내장된 Github의 panther-analysis에 있는 Osquery용 규칙을 확인하세요.

지원되는 로그 유형

Osquery.Batch

Batch에는 Osquery 배치 로그에 포함된 모든 데이터가 들어 있습니다.

참조: 로깅에 대한 Osquery 문서. (Batch format 섹션으로 스크롤)

schema: Osquery.Batch
description: Batch에는 Osquery 배치 로그에 포함된 모든 데이터가 들어 있습니다
referenceURL: https://osquery.readthedocs.io/en/stable/deployment/logging/
fields:
    - name: calendarTime
      required: true
      description: 이벤트의 시간(UTC).
      type: timestamp
      timeFormats:
        - '%a %b %d %H:%M:%S %Y %Z'
        - '%a %b  %d %H:%M:%S %Y %Z'
      isEventTime: true
    - name: counter
      required: true
      description: '''counter''는 추가된 레코드가 초기 쿼리의 모든 레코드인지, 아니면 새 레코드인지 식별하는 데 사용할 수 있습니다. 모든 레코드를 포함하는 초기 쿼리 결과의 경우 counter는 ''0''입니다'
      type: bigint
    - name: decorations
      description: 장식
      type: json
    - name: diffResults
      required: true
      description: 계산된 차이.
      type: object
      fields:
        - name: added
          description: 추가된 필드
          type: array
          element:
            type: json
        - name: removed
          description: 제거된 필드
          type: array
          element:
            type: json
    - name: epoch
      required: true
      description: Epoch. 'epoch'가 변경되면 counter는 다시 0으로 재설정됩니다.
      type: bigint
    - name: hostname
      required: true
      description: 호스트 이름
      type: string
      indicators:
        - hostname
    - 이름: name
      required: true
      description: 이름
      type: string
    - name: unixTime
      required: true
      description: Unix epoch
      type: bigint

Osquery.Differential

Differential에는 Osquery 차등 로그에 포함된 모든 데이터가 들어 있습니다.

참조: 로깅에 대한 Osquery 문서. (Differential logs 섹션으로 스크롤)

schema: Osquery.Differential
description: Differential에는 Osquery 차등 로그에 포함된 모든 데이터가 들어 있습니다
referenceURL: https://osquery.readthedocs.io/en/stable/deployment/logging/
fields:
    - 이름: 동작
      required: true
      description: Action은 이벤트의 유형입니다
      type: string
    - name: calendarTime
      required: true
      description: 이벤트의 시간(UTC).
      type: timestamp
      timeFormats:
        - '%a %b %d %H:%M:%S %Y %Z'
        - '%a %b  %d %H:%M:%S %Y %Z'
      isEventTime: true
    - name: columns
      required: true
      description: 열
      type: json
    - name: counter
      description: '''counter''는 추가된 레코드가 초기 쿼리의 모든 레코드인지, 아니면 새 레코드인지 식별하는 데 사용할 수 있습니다. 모든 레코드를 포함하는 초기 쿼리 결과의 경우 counter는 ''0''입니다'
      type: bigint
    - name: decorations
      description: 장식
      type: json
    - name: epoch
      required: true
      description: Epoch. 'epoch'가 변경되면 counter는 다시 0으로 재설정됩니다.
      type: bigint
    - name: hostIdentifier
      required: true
      description: HostIdentifier
      type: string
      indicators:
        - hostname
    - name: logType
      description: LogType
      type: string
    - name: log_type
      description: LogUnderscoreType
      type: string
    - 이름: name
      required: true
      description: 이름
      type: string
    - name: unixTime
      required: true
      description: UnixTime
      type: bigint
    - name: logNumericsAsNumbers
      description: LogNumericsAsNumbers
      type: boolean

Osquery.Snapshot

Snapshot에는 Osquery 차등 로그에 포함된 모든 데이터가 들어 있습니다.

참조: 로깅에 대한 Osquery 문서. (Snapshot logs 섹션으로 스크롤)

schema: Osquery.Snapshot
description: Snapshot에는 Osquery 차등 로그에 포함된 모든 데이터가 들어 있습니다
referenceURL: https://osquery.readthedocs.io/en/stable/deployment/logging/
fields:
    - name: calendarTime
      required: true
      description: 이벤트의 시간(UTC).
      type: timestamp
      timeFormats:
        - '%a %b %d %H:%M:%S %Y %Z'
        - '%a %b  %d %H:%M:%S %Y %Z'
      isEventTime: true
    - name: unixTime
      required: true
      description: UnixTime
      type: bigint
    - 이름: 동작
      required: true
      description: Action은 이벤트의 유형입니다
      type: string
    - name: counter
      required: true
      description: '''counter''는 추가된 레코드가 초기 쿼리의 모든 레코드인지, 아니면 새 레코드인지 식별하는 데 사용할 수 있습니다. 모든 레코드를 포함하는 초기 쿼리 결과의 경우 counter는 ''0''입니다'
      type: bigint
    - name: decorations
      description: 장식
      type: json
    - name: epoch
      required: true
      description: Epoch. 'epoch'가 변경되면 counter는 다시 0으로 재설정됩니다.
      type: bigint
    - name: hostIdentifier
      required: true
      description: HostIdentifier. 기본적으로는 호스트 이름입니다'
      type: string
      indicators:
        - 도메인
    - 이름: name
      required: true
      description: 이름
      type: string
    - name: snapshot
      description: 스냅샷
      type: array
      element:
        type: json

Osquery.Status

Status는 데몬에 대한 진단용 osquery 로그입니다.

참조: 로깅에 대한 Osquery 문서. (Status logs 섹션으로 스크롤)

schema: Osquery.Status
description: Status는 데몬에 대한 진단용 osquery 로그입니다.
referenceURL: https://osquery.readthedocs.io/en/stable/deployment/logging/
fields:
    - name: calendarTime
      required: true
      description: 이벤트의 시간(UTC).
      type: timestamp
      timeFormats:
        - '%a %b %d %H:%M:%S %Y %Z'
        - '%a %b  %d %H:%M:%S %Y %Z'
      isEventTime: true
    - name: decorations
      description: 장식
      type: json
    - name: filename
      required: true
      description: 파일 이름
      type: string
    - name: hostIdentifier
      required: true
      description: HostIdentifier
      type: string
      indicators:
        - 도메인
    - 이름: line
      required: true
      description: 줄
      type: bigint
    - name: logType
      description: LogType
      type: string
    - name: log_type
      description: LogUnderScoreType
      type: string
    - name: message
      description: 메시지
      type: string
    - name: severity
      required: true
      description: 심각도
      type: bigint
    - name: unixTime
      required: true
      description: UnixTime
      type: bigint
    - 이름: version
      required: true
      description: 버전
      type: string

이전Orca Security 로그 다음OSSEC 로그

마지막 업데이트 2년 전

도움이 되었나요?