# Panther 감사 로그

## 개요

Panther 감사 로그는 Panther 배포 내 활동의 읽기 전용 기록을 제공합니다. Panther 감사 로그가 로그 소스로 활성화되면 다른 Panther로 수집된 보안 이벤트와 동일한 방식으로 감사 로그에 대해 디텍션을 작성하거나 데이터 레이크를 쿼리할 수 있습니다. 자세한 내용은 [Panther 감사 로그에 대한 쿼리 및 디텍션 작성](https://docs.panther.com/ko/data-onboarding/supported-logs/panther-audit-logs/querying-and-writing-detections-for-panther-audit-logs).

### 감사 로그에 기록되는 작업

감사 로깅은 현재 Panther의 모든 활동(특정 로그 소스, 클라우드 계정 및 대상에 대한 참조 등)을 포괄적으로 포함하지 않습니다. 감사 로그에 기록되는 모든 작업은 [Panther 감사 로그 작업](https://docs.panther.com/ko/data-onboarding/supported-logs/panther-audit-logs/panther-audit-log-actions).

다음을 사용하여 수행된 작업 [Panther 분석 도구(PAT)](https://docs.panther.com/ko/panther/detections-repo/pat) 는 인증이 [API 토큰](https://docs.panther.com/ko/panther/detections-repo/pat/install-configure-and-authenticate-with-pat#authenticating-with-an-api-token)으로 수행된 경우에만 감사 로그를 생성합니다. IAM 역할과 같은 레거시 방법을 사용하여 인증하는 PAT 작업은 감사 로그를 생성하지 않습니다.

에서 수행된 작업 [Slack 봇 알러트](https://docs.panther.com/ko/alerts/alert-management/slack) 는 감사 로그에 포함됩니다.

### 보관 기간

감사 로그는 기본적으로 AWS S3에 5년간 보관됩니다.

## 로그 소스로 감사 로그 활성화하기

감사 로그는 자동으로 생성되지만, 그 위에 디텍션을 작성하려면 로그 소스로 활성화해야 합니다. 감사 로그를 활성화하는 작업 자체는 `CREATE_LOG_SOURCE` 감사 로그로 캡처되며 새 로그 소스가 생성됩니다. 감사 로그를 활성화할 수 있는 권한은 **설정 및 SAML 환경설정 편집** 권한을 가진 사용자만 감사 로그를 활성화할 수 있습니다.

{% hint style="warning" %}
감사 로그를 비활성화해도 감사 로그가 생성되지 않습니다.
{% endhint %}

다른 로그 소스와 달리 [로그 드롭오프 알람](https://docs.panther.com/ko/system-configuration/notifications/system-errors#log-drop-off-alerts) 은 Panther 감사 로그에 대해 구성할 수 없습니다.

감사 로그를 로그 소스로 활성화하려면:

1. Panther 콘솔의 오른쪽 상단에서 톱니바퀴 아이콘을 클릭한 다음, **일반**.
2. 페이지에서 **기본 정보** 탭, 의 오른쪽에 **Panther 감사 로그 활성화**, 토글을 클릭하세요 `켜기`.
3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **변경사항 저장(Save Changes)**.

<figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-e2d44052d7ec8a5790dec60b1add8b411ba662c9%2FScreenshot%202023-07-05%20at%201.56.55%20PM.png?alt=media" alt="The &#x22;Main Information&#x22; tab of the General settings in the Panther Console is shown. There are various fields, and an arrow pointing to the Enable Panther Audit Logs one." width="563"><figcaption></figcaption></figure>

## Panther 관리 디텍션

참조 [Panther 관리](https://docs.panther.com/detections/panther-managed) Panther 감사 로그용 룰은 [panther-analysis GitHub 리포지토리](https://github.com/panther-labs/panther-analysis/tree/master/rules/panther_audit_rules).

## 감사 로그 참조

### 필요한 경우

감사 로그의 필드는 아래에 나열되어 있으며 필드 유형 및 필수 여부에 대한 정보가 포함되어 있습니다.

<table><thead><tr><th width="193">속성</th><th width="285">설명</th><th width="167.55223880597015"></th><th>필수</th></tr></thead><tbody><tr><td><code>actionName</code></td><td>시도된 작업.</td><td>문자열</td><td>부울 값</td></tr><tr><td><code>actionDescription</code></td><td>시도된 작업에 대한 선택적 간단한 설명.</td><td>문자열</td><td>true</td></tr><tr><td><code>actionResult</code></td><td>시도된 작업의 결과.</td><td>문자열 - <code>SUCCEEDED</code>, <code>FAILED</code>, 또는 <code>PARTIALLY_FAILED</code></td><td>부울 값</td></tr><tr><td><code>actionParams</code></td><td>시도된 작업과 관련된 제공된 매개변수. 값은 제공된 방식에 따라 <code>동적</code> 와 <code>정적</code> 키 아래에 그룹화됩니다.</td><td>딕트</td><td>true</td></tr><tr><td><code>actionDetails</code></td><td>시도된 작업에 대한 추가 메타데이터 및/또는 세부 정보.</td><td>딕트</td><td>true</td></tr><tr><td><code>행위자</code></td><td>행위자에 대한 식별 정보.</td><td>딕트</td><td>부울 값</td></tr><tr><td><code>actor.id</code></td><td>작업을 시도한 행위자의 ID.</td><td>문자열</td><td>부울 값</td></tr><tr><td><code>actor.type</code></td><td>행위자 유형(사용자/토큰).</td><td>문자열 -<code>USER</code> 이전에 생성한 Snowflake 사용자 이름, 예를 들면 <code>TOKEN</code></td><td>부울 값</td></tr><tr><td><code>actor.name</code></td><td>작업을 시도한 행위자의 이름.</td><td>문자열</td><td>true</td></tr><tr><td><code>actor.attributes</code></td><td>작업을 시도한 행위자의 속성.</td><td>딕트</td><td>true</td></tr><tr><td><code>errors</code></td><td>작업 수행 중 발생한 오류.</td><td>목록</td><td>true</td></tr><tr><td><code>errors.message</code></td><td>발생한 오류에 대한 오류 메시지.</td><td>문자열</td><td>true</td></tr><tr><td><code>sourceIP</code></td><td>요청이 시작된 IP 주소.</td><td>문자열</td><td>true</td></tr><tr><td><code>XForwardedFor</code></td><td>X-Forwarded-Header에 포함된 모든 IP 주소.</td><td>목록</td><td>true</td></tr><tr><td><code>userAgent</code></td><td>행위자의 브라우저에 대한 정보 또는 <code>slackbot</code> 작업이 을 통해 시작된 경우. <a href="../../../alerts/alert-management/slack#managing-alerts-in-slack">Slack 봇</a>.</td><td>문자열</td><td>true</td></tr><tr><td><code>타임스탬프</code></td><td>작업이 시도된 날짜/시간.</td><td>문자열</td><td>부울 값</td></tr><tr><td><code>pantherVersion</code></td><td>작업 시도 시점의 이 Panther 인스턴스 버전.</td><td>문자열</td><td>부울 값</td></tr></tbody></table>