# OSSEC 로그 ## 개요 Panther는 다음을 수집하는 것을 지원합니다 [OSSEC](https://www.ossec.net/) 로그를 공통 [데이터 전송](https://docs.panther.com/ko/data-onboarding/data-transports) 옵션: Amazon Web Services(AWS) S3 및 SQS를 통한 Fastly 로그 수집을 지원합니다. ## OSSEC 로그를 Panther에 온보딩하는 방법 이 로그를 Panther에 연결하려면: 1. Panther 콘솔의 왼쪽 탐색 창에서 **구성** > **로그 소스**. 2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기**. 3. 온보딩하려는 로그 유형을 검색한 다음 해당 타일을 클릭하세요. 4. 이 통합에 사용할 데이터 전송 방법을 선택한 다음 해당 방법을 구성하기 위한 Panther의 지침을 따르세요: * [AWS SQS](https://docs.panther.com/ko/data-onboarding/data-transports/aws/sqs) * [AWS S3 버킷](https://docs.panther.com/ko/data-onboarding/data-transports/aws/s3) 5. OSSEC를 구성하여 로그를 Data Transport 소스로 푸시합니다. * 선택한 Data Transport 소스로 로그를 푸시하는 방법은 OSSEC 문서를 참조하세요. ## 지원되는 로그 유형 ### OSSEC.EventInfo OSSEC EventInfo 알러트 파서. JSON 출력이 지원됩니다. 참고: [알러트 로그 샘플에 대한 OSSEC 문서.](https://www.ossec.net/docs/docs/formats/alerts.html) ```yaml 스키마: OSSEC.EventInfo 설명: OSSEC EventInfo 알러트 파서. 현재 JSON 출력만 지원됩니다. 참고URL: https://www.ossec.net/docs/docs/formats/alerts.html 필드: - 이름: id required: true 설명: 이벤트의 고유 ID. type: string - 이름: 룰 required: true 설명: 이벤트를 생성한 룰에 대한 정보. type: object 필드: - 이름: comment required: true 설명: 룰 설명. type: string - 이름: level required: true 설명: 룰의 레벨(0에서 16). 알러트와 응답은 이 값을 사용합니다. type: bigint - 이름: sidid required: true 설명: 룰의 ID(100에서 99999). type: bigint - 이름: CIS 설명: 룰과 관련된 Center for Internet Security(CIS) 검사 목록. type: array element: type: string - 이름: cve 설명: 룰과 관련된 Common Vulnerabilities and Exposures(CVE) 식별자. type: string - 이름: firedtimes 설명: 룰이 발동된 횟수. type: bigint - 이름: frequency 설명: 룰이 발동되기 전에 일치해야 하는 횟수를 지정합니다. type: bigint - 이름: group 설명: 그룹은 알러트에 추가된 선택적 태그입니다. type: string - 이름: groups 설명: 그룹은 알러트에 추가된 선택적 태그입니다. type: array element: type: string - 이름: info 설명: 룰에 대한 추가 정보 또는 참조. type: string - 이름: PCI_DSS 설명: 룰과 관련된 Payment Card Industry Data Security Standard(PCI DSS) 요구사항 목록. type: array element: type: string - 이름: TimeStamp required: true 설명: UTC의 타임스탬프. type: timestamp timeFormats: - unix_ms isEventTime: true - 이름: location required: true 설명: 이벤트의 출처(파일명, 명령어 등). type: string - 이름: hostname required: true 설명: 이벤트를 생성한 호스트의 호스트명. type: string - 이름: full_log required: true 설명: 이벤트의 전체 캡처된 로그. type: string - 이름: action 설명: 이벤트 동작(drop, deny, accept 등). type: string - 이름: agentip 설명: 호스트네임에서 추출한 에이전트의 IP 주소. type: string 지표: - ip - 이름: agent_name 설명: 호스트네임에서 추출한 에이전트의 이름. type: string - name: command 설명: 디코더가 추출한 명령어. type: string - name: data 설명: 디코더가 추출한 추가 데이터. 예: 파일명. type: string - 이름: decoder 설명: 로그를 파싱하는 데 사용된 디코더의 이름. type: string - 이름: decoder_desc 설명: 로그 파싱에 사용된 디코더에 대한 정보. type: object 필드: - 이름: accumulate 설명: OSSEC가 디코딩된 ID를 기반으로 여러 로그 메시지에 걸쳐 이벤트를 추적하면 True입니다. type: bigint - 이름: fts 설명: analysisd 내부의 First Time Seen 옵션. type: bigint - 이름: ftscomment 설명: 현재 사용되지 않음. type: string - 이름: name 설명: 디코더의 이름. type: string - 이름: parent 설명: 중첩된 디코더의 경우 상위 디코더의 이름. type: string - 이름: decoder_parent 설명: 중첩된 디코더의 경우 상위 디코더의 이름. type: string - 이름: dstgeoip 설명: 목적지 IP 주소에 대한 GeoIP 위치 정보. type: string - 이름: dstip 설명: 목적지 IP 주소. type: string 지표: - ip - 이름: dstport 설명: 목적지 포트. type: string - 이름: dstuser 설명: 목적지(대상) 사용자 이름. type: string 지표: - username - 이름: logfile 설명: 이벤트 생성을 위해 디코딩된 소스 로그 파일. type: string - 이름: previous_output 설명: 이전 이벤트의 전체 캡처된 로그. type: string - 이름: program_name 설명: 룰과 일치시키기 위해 디코더가 로그에서 추출한 실행 파일 이름. type: string - 이름: protocol 설명: 디코더가 추출한 프로토콜(ip, tcp, udp 등). type: string - 이름: srcgeoip 설명: 소스 IP 주소에 대한 GeoIP 위치 정보. type: string - 이름: srcip 설명: 소스 IP 주소. type: string 지표: - ip - 이름: srcport 설명: 소스 포트. type: string - 이름: srcuser 설명: 소스 사용자 이름. type: string 지표: - username - 이름: status 설명: 이벤트 상태(성공, 실패 등). type: string - 이름: SyscheckFile 설명: 파일 무결성 검사에 대한 정보. type: object 필드: - 이름: gowner_after 설명: 수정 후의 그룹 소유자. type: string - 이름: gowner_before 설명: 수정 전의 그룹 소유자. type: string - 이름: md5_after 설명: 수정 후 파일의 MD5 해시. type: string 지표: - md5 - 이름: md5_before 설명: 수정 전 파일의 MD5 해시. type: string 지표: - md5 - 이름: owner_after 설명: 수정 후의 파일 소유자. type: string - 이름: owner_before 설명: 수정 전의 파일 소유자. type: string - name: path 설명: 파일의 경로. type: string - 이름: perm_after 설명: 수정 후 파일의 권한. type: bigint - 이름: perm_before 설명: 수정 전 파일의 권한. type: bigint - 이름: sha1_after 설명: 수정 후 파일의 SHA1 해시. type: string 지표: - sha1 - 이름: sha1_before 설명: 수정 전 파일의 SHA1 해시. type: string 지표: - sha1 - 이름: systemname 설명: 디코더가 추출한 시스템 이름. type: string - name: url 설명: 이벤트의 URL. type: string ```