Panther 감사 로그
Panther 인스턴스의 감사 활동 로그
개요
Panther 감사 로그는 Panther 배포 내 활동의 읽기 전용 기록을 제공합니다. Panther 감사 로그가 로그 소스로 활성화되면 다른 Panther로 수집된 보안 이벤트와 동일한 방식으로 감사 로그에 대해 디텍션을 작성하거나 데이터 레이크를 쿼리할 수 있습니다. 자세한 내용은 Panther 감사 로그에 대한 쿼리 및 디텍션 작성.
감사 로그에 기록되는 작업
감사 로깅은 현재 Panther의 모든 활동(특정 로그 소스, 클라우드 계정 및 대상에 대한 참조 등)을 포괄적으로 포함하지 않습니다. 감사 로그에 기록되는 모든 작업은 Panther 감사 로그 작업.
다음을 사용하여 수행된 작업 Panther 분석 도구(PAT) 는 인증이 API 토큰으로 수행된 경우에만 감사 로그를 생성합니다. IAM 역할과 같은 레거시 방법을 사용하여 인증하는 PAT 작업은 감사 로그를 생성하지 않습니다.
에서 수행된 작업 Slack 봇 알러트 는 감사 로그에 포함됩니다.
보관 기간
감사 로그는 기본적으로 AWS S3에 5년간 보관됩니다.
로그 소스로 감사 로그 활성화하기
감사 로그는 자동으로 생성되지만, 그 위에 디텍션을 작성하려면 로그 소스로 활성화해야 합니다. 감사 로그를 활성화하는 작업 자체는 CREATE_LOG_SOURCE 감사 로그로 캡처되며 새 로그 소스가 생성됩니다. 감사 로그를 활성화할 수 있는 권한은 설정 및 SAML 환경설정 편집 권한을 가진 사용자만 감사 로그를 활성화할 수 있습니다.
감사 로그를 비활성화해도 감사 로그가 생성되지 않습니다.
다른 로그 소스와 달리 로그 드롭오프 알람 은 Panther 감사 로그에 대해 구성할 수 없습니다.
감사 로그를 로그 소스로 활성화하려면:
Panther 콘솔의 오른쪽 상단에서 톱니바퀴 아이콘을 클릭한 다음, 일반.
페이지에서 기본 정보 탭, 의 오른쪽에 Panther 감사 로그 활성화, 토글을 클릭하세요
켜기.를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 변경사항 저장(Save Changes).
Panther 관리 디텍션
참조 Panther 관리 Panther 감사 로그용 룰은 panther-analysis GitHub 리포지토리.
감사 로그 참조
필요한 경우
감사 로그의 필드는 아래에 나열되어 있으며 필드 유형 및 필수 여부에 대한 정보가 포함되어 있습니다.
actionName
시도된 작업.
문자열
부울 값
actionDescription
시도된 작업에 대한 선택적 간단한 설명.
문자열
true
actionResult
시도된 작업의 결과.
문자열 - SUCCEEDED, FAILED, 또는 PARTIALLY_FAILED
부울 값
actionParams
시도된 작업과 관련된 제공된 매개변수. 값은 제공된 방식에 따라 동적 와 정적 키 아래에 그룹화됩니다.
딕트
true
actionDetails
시도된 작업에 대한 추가 메타데이터 및/또는 세부 정보.
딕트
true
행위자
행위자에 대한 식별 정보.
딕트
부울 값
actor.id
작업을 시도한 행위자의 ID.
문자열
부울 값
actor.type
행위자 유형(사용자/토큰).
문자열 -USER 이전에 생성한 Snowflake 사용자 이름, 예를 들면 TOKEN
부울 값
actor.name
작업을 시도한 행위자의 이름.
문자열
true
actor.attributes
작업을 시도한 행위자의 속성.
딕트
true
errors
작업 수행 중 발생한 오류.
목록
true
errors.message
발생한 오류에 대한 오류 메시지.
문자열
true
sourceIP
요청이 시작된 IP 주소.
문자열
true
XForwardedFor
X-Forwarded-Header에 포함된 모든 IP 주소.
목록
true
타임스탬프
작업이 시도된 날짜/시간.
문자열
부울 값
pantherVersion
작업 시도 시점의 이 Panther 인스턴스 버전.
문자열
부울 값
마지막 업데이트
도움이 되었나요?