Panther 감사 로그
Panther 인스턴스에서 감사된 활동의 로그
개요
Panther 감사 로그는 Panther 배포에서의 활동에 대한 읽기 전용 기록을 제공합니다. Panther 감사 로그가 로그 소스로 활성화되면 Panther에 의해 수집된 다른 보안 이벤트와 동일한 방식으로 감지 룰을 작성하거나 데이터 레이크에서 감사 로그를 쿼리할 수 있습니다. 자세한 내용은 Panther 감사 로그 쿼리 및 감지 작성.
감사 로그에 기록되는 작업
감사 로깅에는 현재 Panther의 모든 활동(특정 로그 소스, 클라우드 계정 및 대상에 대한 참조 등)에 대한 전체 목록이 포함되어 있지 않습니다. 감사 로그에 기록된 모든 작업은 Panther 감사 로그 작업.
다음을 사용하여 수행된 작업은 Panther 분석 도구(PAT) 인증이 API 토큰을(를) 사용하여 수행된 경우에만 감사 로그를 생성합니다. IAM 역할과 같은 기존 방식으로 인증하는 PAT 작업은 감사 로그를 생성하지 않습니다.
다음에서 수행된 작업은 Slack 봇 경고 에 포함되어 감사 로그에 기록됩니다.
보존 기간
감사 로그는 기본적으로 AWS S3에 5년 동안 보관됩니다.
감사 로그를 로그 소스로 활성화하기
감사 로그는 자동으로 생성되지만 해당 로그에서 감지를 작성하려면 로그 소스로 활성화해야 합니다. 감사 로그 활성화 작업 자체는 CREATE_LOG_SOURCE 감사 로그로 캡처되며 새 로그 소스가 생성됩니다. 감사 로그를 활성화할 수 있는 사용자는 설정 및 SAML 환경설정 수정 권한을 가진 사용자만
감사 로그 비활성화는 감사 로그를 생성하지 않습니다.
다른 로그 소스와 달리 로그 드롭오프 알람 은 Panther 감사 로그에 대해 구성할 수 없습니다.
감사 로그를 로그 소스로 활성화하려면:
Panther 콘솔 오른쪽 상단에서 톱니바퀴 아이콘을 클릭한 다음, 일반.
페이지에서 주요 정보 탭에서, Panther 감사 로그 활성화, 토글을 클릭하세요
켜기.클릭 변경 사항 저장(Save Changes).
Panther 관리 탐지
참조 Panther 관리 Panther 감사 로그에 대한 규칙은 panther-analysis GitHub 리포지토리에 있습니다.
감사 로그 참조
스키마
감사 로그의 필드가 아래에 나열되어 있으며 필드 유형 및 필수 여부에 대한 정보가 함께 제공됩니다.
actionName
시도된 작업.
문자열
부울 값
actionDescription
시도된 작업에 대한 선택적 간략 설명.
문자열
true
actionResult
시도된 작업의 결과.
문자열 - SUCCEEDED, FAILED, 또는 PARTIALLY_FAILED
부울 값
actionParams
시도된 작업과 관련된 제공된 매개변수. 값은 동적 와 정적 작업에 제공된 방식에 따라 키로 그룹화됩니다
사전
true
actionDetails
시도된 작업에 대한 추가 메타데이터 및/또는 세부 정보.
사전
true
행위자(actor)
행위자에 대한 식별 정보.
사전
부울 값
actor.id
작업을 시도한 행위자의 ID.
문자열
부울 값
actor.type
행위자의 유형(사용자/토큰).
문자열 -USER 또는 TOKEN
부울 값
actor.name
작업을 시도한 행위자의 이름.
문자열
true
actor.attributes
작업을 시도한 행위자의 속성.
사전
true
errors
작업을 수행하는 동안 발생한 오류.
목록
true
errors.message
발생한 오류에 대한 오류 메시지.
문자열
true
sourceIP
요청이 시작된 IP 주소.
문자열
true
XForwardedFor
X-Forwarded-헤더에 포함된 모든 IP 주소.
목록
true
타임스탬프
작업이 시도된 날짜/시간.
문자열
부울 값
pantherVersion
작업이 시도될 당시 이 Panther 인스턴스의 버전.
문자열
부울 값
Last updated
Was this helpful?