Panther 감사 로그
Panther 인스턴스에서 감사된 활동에 대한 로그
개요
Panther 감사 로그는 Panther 배포 내 활동의 읽기 전용 기록을 제공합니다. Panther 감사 로그가 로그 소스로 활성화되면, Panther가 수집한 다른 보안 이벤트와 동일한 방식으로 감사 로그에 대한 탐지 규칙을 작성하거나 데이터 레이크를 쿼리할 수 있습니다. 자세한 내용은 Panther 감사 로그에 대한 쿼리 및 탐지 규칙 작성.
감사 로그에 기록되는 작업
현재 감사 로깅에는 Panther 내 모든 활동의 포괄적 목록(예: 특정 로그 소스, 클라우드 계정, 목적지에 대한 참조)은 포함되지 않습니다. 감사 로그에 의해 기록되는 모든 작업은 다음에서 확인하세요. Panther 감사 로그 작업.
다음을 사용하여 수행한 작업은 Panther Analysis Tool (PAT) 인증이 다음을 사용하여 수행되는 경우에만 감사 로그를 생성합니다. API 토큰. IAM 역할과 같은 레거시 방법으로 인증하는 PAT 작업은 감사 로그를 생성하지 않습니다.
다음에서 수행한 작업은 Slack Bot 알러트 는 감사 로그에 포함됩니다.
보존
감사 로그는 기본적으로 AWS S3에 5년 동안 보존됩니다.
감사 로그를 로그 소스로 활성화하기
감사 로그는 자동으로 생성되지만, 이에 대한 탐지 규칙을 작성하려면 로그 소스로 활성화해야 합니다. 감사 로그를 활성화하는 작업 자체는 다음으로 캡처됩니다. CREATE_LOG_SOURCE 감사 로그가 생성되고 새 로그 소스가 만들어집니다. 다음 권한이 있는 사용자만 설정 편집 및 SAML 기본 설정 권한으로 감사 로그를 활성화할 수 있습니다.
감사 로그를 비활성화해도 감사 로그는 생성되지 않습니다.
다른 로그 소스와 달리 로그 중단 알람 은 Panther 감사 로그에 대해 구성할 수 없습니다.
감사 로그를 로그 소스로 활성화하려면:
Panther Console의 오른쪽 상단 모서리에서 톱니바퀴 아이콘을 클릭한 다음 General.
다음 항목에서 기본 정보 탭, 의 오른쪽에서 Panther 감사 로그 활성화의 토글을 클릭합니다
ON.다음을 클릭하세요. 변경 사항 저장.
Panther 관리형 디택션
다음을 참조하세요 Panther 관리형 Panther 감사 로그에 대한 규칙은 다음에 있습니다. panther-analysis GitHub 저장소에 있습니다.
감사 로그 참조
스키마
감사 로그의 필드는 아래에 필드 유형 정보와 필수 필드 여부와 함께 나열되어 있습니다.
actionName
시도된 작업입니다.
문자열
true
actionDescription
시도된 작업에 대한 선택적 간단한 설명입니다.
문자열
false
actionResult
시도된 작업의 결과입니다.
문자열 - 성공, 실패, 또는 부분 실패
true
actionParams
시도 중인 작업과 관련된 제공된 매개변수입니다. 값은 제공 방식에 따라 다음 아래에 그룹화됩니다. 동적 및 정적 작업에 제공된 방식에 따른 키
딕셔너리
false
actionDetails
시도된 작업에 대한 추가 메타데이터 및/또는 세부 정보입니다.
딕셔너리
false
행위자
작업 주체에 대한 식별 정보입니다.
딕셔너리
true
actor.id
작업을 시도한 주체의 ID입니다.
문자열
true
actor.type
주체의 유형(user/token)입니다.
문자열 -USER 또는 TOKEN
true
actor.name
작업을 시도한 주체의 이름입니다.
문자열
false
actor.attributes
작업을 시도한 주체의 속성입니다.
딕셔너리
false
errors
작업 수행 중 발생한 오류입니다.
목록
false
errors.message
발생한 오류에 대한 오류 메시지입니다.
문자열
false
sourceIP
요청이 시작된 IP 주소입니다.
문자열
false
XForwardedFor
X-Forwarded-Header에 포함된 모든 IP 주소입니다.
목록
false
타임스탬프
작업이 시도된 날짜/시간입니다.
문자열
true
pantherVersion
작업이 시도된 시점의 이 Panther 인스턴스 버전입니다.
문자열
true
마지막 업데이트
도움이 되었나요?