OSSEC 로그

OSSEC 로그를 Panther 콘솔에 연결하기

개요

Panther는 수집을 지원합니다 OSSEC 로그를 일반 데이터 전송 옵션: Amazon Web Services(AWS) S3 및 SQS.

OSSEC 로그를 Panther에 온보딩하는 방법

이 로그를 Panther에 연결하려면:

Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.
클릭 새로 만들기.
온보딩하려는 로그 유형을 검색한 다음 해당 타일을 클릭합니다.
이 통합에 사용할 데이터 전송 방법을 선택한 다음 해당 방법을 구성하기 위한 Panther의 지침을 따르십시오:
- AWS SQS
- AWS S3 버킷
OSSEC를 구성하여 로그를 Data Transport 소스로 전송하십시오.
- 선택한 Data Transport 소스로 로그를 푸시하는 방법은 OSSEC 문서를 참조하십시오.

지원되는 로그 유형

OSSEC.EventInfo

OSSEC EventInfo 경고 파서. JSON 출력이 지원됩니다.

참조: 경고 로그 샘플에 대한 OSSEC 문서.

스키마: OSSEC.EventInfo
설명: OSSEC EventInfo 경고 파서. 현재는 JSON 출력만 지원됩니다.
참조URL: https://www.ossec.net/docs/docs/formats/alerts.html
필드:
    - 이름: id
      required: true
      설명: 이벤트의 고유 ID.
      type: string
    - name: rule
      required: true
      설명: 이벤트를 생성한 규칙에 대한 정보.
      type: object
      필드:
        - name: comment
          required: true
          설명: 규칙 설명.
          type: string
        - name: level
          required: true
          설명: 규칙의 레벨(0~16). 경고 및 대응은 이 값을 사용합니다.
          type: bigint
        - name: sidid
          required: true
          설명: 규칙의 ID(100~99999).
          type: bigint
        - name: CIS
          설명: 규칙과 관련된 Center for Internet Security(CIS) 검사 목록.
          type: array
          element:
            type: string
        - name: cve
          설명: 규칙과 관련된 Common Vulnerabilities and Exposures(CVE) 식별자.
          type: string
        - name: firedtimes
          설명: 규칙이 발동된 횟수.
          type: bigint
        - name: frequency
          설명: 규칙이 발동되기 전에 일치해야 하는 횟수를 지정합니다.
          type: bigint
        - name: group
          설명: 그룹은 경고에 추가된 선택적 태그입니다.
          type: string
        - 이름: groups
          설명: 그룹은 경고에 추가된 선택적 태그입니다.
          type: array
          element:
            type: string
        - name: info
          설명: 규칙에 대한 추가 정보 또는 참조.
          type: string
        - name: PCI_DSS
          설명: 규칙과 관련된 Payment Card Industry Data Security Standard(PCI DSS) 요구사항 목록.
          type: array
          element:
            type: string
    - name: TimeStamp
      required: true
      설명: UTC 기준 타임스탬프.
      type: timestamp
      timeFormats:
        - unix_ms
      isEventTime: true
    - 이름: location
      required: true
      설명: 이벤트의 출처(파일명, 명령 등).
      type: string
    - 이름: hostname
      required: true
      설명: 이벤트를 생성한 호스트의 호스트명.
      type: string
    - name: full_log
      required: true
      설명: 이벤트의 전체 캡처된 로그.
      type: string
    - 이름: action
      설명: 이벤트 동작(차단, 거부, 수락 등).
      type: string
    - name: agentip
      설명: 호스트명에서 추출된 에이전트의 IP 주소.
      type: string
      지표:
        - ip
    - name: agent_name
      설명: 호스트명에서 추출된 에이전트의 이름.
      type: string
    - name: command
      설명: 디코더에 의해 추출된 명령.
      type: string
    - name: data
      설명: 디코더에 의해 추출된 추가 데이터. 예: 파일 이름.
      type: string
    - name: decoder
      설명: 로그를 파싱하는 데 사용된 디코더의 이름.
      type: string
    - name: decoder_desc
      설명: 로그를 파싱하는 데 사용된 디코더에 대한 정보.
      type: object
      필드:
        - name: accumulate
          설명: OSSEC가 디코딩된 ID를 기반으로 여러 로그 메시지에 걸쳐 이벤트를 추적하면 True.
          type: bigint
        - name: fts
          설명: analysisd 내부의 First Time Seen 옵션.
          type: bigint
        - name: ftscomment
          설명: 현재는 사용되지 않음.
          type: string
        - 이름: name
          설명: 디코더의 이름.
          type: string
        - name: parent
          설명: 중첩된 디코더의 경우 상위 디코더의 이름.
          type: string
    - name: decoder_parent
      설명: 중첩된 디코더의 경우 상위 디코더의 이름.
      type: string
    - name: dstgeoip
      설명: 대상 IP 주소에 대한 GeoIP 위치 정보.
      type: string
    - name: dstip
      설명: 대상 IP 주소.
      type: string
      지표:
        - ip
    - name: dstport
      설명: 대상 포트.
      type: string
    - name: dstuser
      설명: 대상(타깃) 사용자 이름.
      type: string
      지표:
        - username
    - name: logfile
      설명: 이벤트를 생성하기 위해 디코딩된 소스 로그 파일.
      type: string
    - name: previous_output
      설명: 이전 이벤트의 전체 캡처된 로그.
      type: string
    - name: program_name
      설명: 규칙과 일치시키기 위해 디코더가 로그에서 추출한 실행 파일 이름.
      type: string
    - 이름: protocol
      설명: 디코더가 추출한 프로토콜(ip, tcp, udp 등).
      type: string
    - name: srcgeoip
      설명: 소스 IP 주소에 대한 GeoIP 위치 정보.
      type: string
    - name: srcip
      설명: 소스 IP 주소.
      type: string
      지표:
        - ip
    - name: srcport
      설명: 소스 포트.
      type: string
    - name: srcuser
      설명: 소스 사용자 이름.
      type: string
      지표:
        - username
    - 이름: status
      설명: 이벤트 상태(성공, 실패 등).
      type: string
    - name: SyscheckFile
      설명: 파일 무결성 검사에 대한 정보.
      type: object
      필드:
        - name: gowner_after
          설명: 수정 후 그룹 소유자.
          type: string
        - name: gowner_before
          설명: 수정 전 그룹 소유자.
          type: string
        - name: md5_after
          설명: 수정 후 파일의 MD5 해시.
          type: string
          지표:
            - md5
        - name: md5_before
          설명: 수정 전 파일의 MD5 해시.
          type: string
          지표:
            - md5
        - name: owner_after
          설명: 수정 후 파일 소유자.
          type: string
        - name: owner_before
          설명: 수정 전 파일 소유자.
          type: string
        - name: path
          설명: 파일의 경로.
          type: string
        - name: perm_after
          설명: 수정 후 파일 권한.
          type: bigint
        - name: perm_before
          설명: 수정 전 파일 권한.
          type: bigint
        - name: sha1_after
          설명: 수정 후 파일의 SHA1 해시.
          type: string
          지표:
            - sha1
        - name: sha1_before
          설명: 수정 전 파일의 SHA1 해시.
          type: string
          지표:
            - sha1
    - name: systemname
      설명: 디코더가 추출한 시스템 이름.
      type: string
    - name: url
      설명: 이벤트의 URL.
      type: string

이전Osquery 로그 다음Panther 감사 로그

마지막 업데이트 1년 전

도움이 되었나요?

스키마: OSSEC.EventInfo 설명: OSSEC EventInfo 경고 파서. 현재는 JSON 출력만 지원됩니다. 참조URL: https://www.ossec.net/docs/docs/formats/alerts.html 필드: - 이름: id required: true 설명: 이벤트의 고유 ID. type: string - name: rule required: true 설명: 이벤트를 생성한 규칙에 대한 정보. type: object 필드: - name: comment required: true 설명: 규칙 설명. type: string - name: level required: true 설명: 규칙의 레벨(0~16). 경고 및 대응은 이 값을 사용합니다. type: bigint - name: sidid required: true 설명: 규칙의 ID(100~99999). type: bigint - name: CIS 설명: 규칙과 관련된 Center for Internet Security(CIS) 검사 목록. type: array element: type: string - name: cve 설명: 규칙과 관련된 Common Vulnerabilities and Exposures(CVE) 식별자. type: string - name: firedtimes 설명: 규칙이 발동된 횟수. type: bigint - name: frequency 설명: 규칙이 발동되기 전에 일치해야 하는 횟수를 지정합니다. type: bigint - name: group 설명: 그룹은 경고에 추가된 선택적 태그입니다. type: string - 이름: groups 설명: 그룹은 경고에 추가된 선택적 태그입니다. type: array element: type: string - name: info 설명: 규칙에 대한 추가 정보 또는 참조. type: string - name: PCI_DSS 설명: 규칙과 관련된 Payment Card Industry Data Security Standard(PCI DSS) 요구사항 목록. type: array element: type: string - name: TimeStamp required: true 설명: UTC 기준 타임스탬프. type: timestamp timeFormats: - unix_ms isEventTime: true - 이름: location required: true 설명: 이벤트의 출처(파일명, 명령 등). type: string - 이름: hostname required: true 설명: 이벤트를 생성한 호스트의 호스트명. type: string - name: full_log required: true 설명: 이벤트의 전체 캡처된 로그. type: string - 이름: action 설명: 이벤트 동작(차단, 거부, 수락 등). type: string - name: agentip 설명: 호스트명에서 추출된 에이전트의 IP 주소. type: string 지표: - ip - name: agent_name 설명: 호스트명에서 추출된 에이전트의 이름. type: string - name: command 설명: 디코더에 의해 추출된 명령. type: string - name: data 설명: 디코더에 의해 추출된 추가 데이터. 예: 파일 이름. type: string - name: decoder 설명: 로그를 파싱하는 데 사용된 디코더의 이름. type: string - name: decoder_desc 설명: 로그를 파싱하는 데 사용된 디코더에 대한 정보. type: object 필드: - name: accumulate 설명: OSSEC가 디코딩된 ID를 기반으로 여러 로그 메시지에 걸쳐 이벤트를 추적하면 True. type: bigint - name: fts 설명: analysisd 내부의 First Time Seen 옵션. type: bigint - name: ftscomment 설명: 현재는 사용되지 않음. type: string - 이름: name 설명: 디코더의 이름. type: string - name: parent 설명: 중첩된 디코더의 경우 상위 디코더의 이름. type: string - name: decoder_parent 설명: 중첩된 디코더의 경우 상위 디코더의 이름. type: string - name: dstgeoip 설명: 대상 IP 주소에 대한 GeoIP 위치 정보. type: string - name: dstip 설명: 대상 IP 주소. type: string 지표: - ip - name: dstport 설명: 대상 포트. type: string - name: dstuser 설명: 대상(타깃) 사용자 이름. type: string 지표: - username - name: logfile 설명: 이벤트를 생성하기 위해 디코딩된 소스 로그 파일. type: string - name: previous_output 설명: 이전 이벤트의 전체 캡처된 로그. type: string - name: program_name 설명: 규칙과 일치시키기 위해 디코더가 로그에서 추출한 실행 파일 이름. type: string - 이름: protocol 설명: 디코더가 추출한 프로토콜(ip, tcp, udp 등). type: string - name: srcgeoip 설명: 소스 IP 주소에 대한 GeoIP 위치 정보. type: string - name: srcip 설명: 소스 IP 주소. type: string 지표: - ip - name: srcport 설명: 소스 포트. type: string - name: srcuser 설명: 소스 사용자 이름. type: string 지표: - username - 이름: status 설명: 이벤트 상태(성공, 실패 등). type: string - name: SyscheckFile 설명: 파일 무결성 검사에 대한 정보. type: object 필드: - name: gowner_after 설명: 수정 후 그룹 소유자. type: string - name: gowner_before 설명: 수정 전 그룹 소유자. type: string - name: md5_after 설명: 수정 후 파일의 MD5 해시. type: string 지표: - md5 - name: md5_before 설명: 수정 전 파일의 MD5 해시. type: string 지표: - md5 - name: owner_after 설명: 수정 후 파일 소유자. type: string - name: owner_before 설명: 수정 전 파일 소유자. type: string - name: path 설명: 파일의 경로. type: string - name: perm_after 설명: 수정 후 파일 권한. type: bigint - name: perm_before 설명: 수정 전 파일 권한. type: bigint - name: sha1_after 설명: 수정 후 파일의 SHA1 해시. type: string 지표: - sha1 - name: sha1_before 설명: 수정 전 파일의 SHA1 해시. type: string 지표: - sha1 - name: systemname 설명: 디코더가 추출한 시스템 이름. type: string - name: url 설명: 이벤트의 URL. type: string

hashtag개요

hashtagOSSEC 로그를 Panther에 온보딩하는 방법

hashtag지원되는 로그 유형

hashtagOSSEC.EventInfo

개요

OSSEC 로그를 Panther에 온보딩하는 방법

지원되는 로그 유형

OSSEC.EventInfo