푸시 보안 로그

Panther 콘솔에서 Push Security 로그 연결하기

개요

Panther는 수집합니다 Push 보안 이벤트를 게시하도록 웹후크를 구성하여 로그 Panther HTTP 소스.

Push 보안 로그를 Panther에 온보딩하는 방법

1단계: Panther에서 Push 보안 소스 생성

Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.
클릭 새로 만들기.
“Push Security”를 검색한 다음 해당 타일을 클릭하세요.
- 슬라이드아웃 패널에서 전송 메커니즘 오른쪽 상단의 드롭다운은 미리 채워져 있습니다 HTTP 옵션.
클릭 설정 시작.
다음을 따르십시오 Panther의 HTTP 소스 구성 지침.
- 다음의 경우 인증 방법에서, 선택하십시오 HMAC.
  - 다음 헤더 이름 필드에 x-signature.
- 이 소스로 전송되는 페이로드는 모든 HTTP 소스에 대한 페이로드 요구사항.
- HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.

HTTP 소스를 생성한 후 Panther 콘솔에 HTTP 소스 URL—s이것과 비밀 키 값 를 안전한 장소에 보관하십시오. 다음 단계에서 필요합니다.

2단계: Push Security에서 새 웹후크 생성

Push Security에서 Panther를 사용하여 이벤트 수집 문서를 참조하여 다음을 따르세요 Push에서 통합 구성 지침에 따라 Panther 웹후크 통합을 설정하세요.

Panther 관리 탐지

참조 Panther 관리 Push Security 규칙은 panther-analysis GitHub 리포지토리에 있습니다.

지원되는 로그 유형

PushSecurity.Activity

스키마: Custom.PushSecurity.Activity
설명: Push Security 최종 사용자 활동
참고URL: https://pushsecurity.redoc.ly/webhooks-v1#tag/Activity
필드검색사용: true
필드:
    - 이름: id
      required: true
      type: string
    - 이름: new
      required: true
      type: object
      필드:
        - 이름: accountId
          type: string
        - name: appId
          type: string
        - 이름: email
          type: string
          지표:
            - 이메일
        - name: employeeId
          type: string
        - 이름: identityProvider
          type: string
        - name: leakedPassword
          유형: boolean
        - name: loginTimestamp
          type: timestamp
          timeFormats:
            - unix
        - name: loginType
          type: string
        - name: loginUrl
          type: string
          지표:
            - URL
        - name: passwordId
          type: string
        - name: passwordManuallyTyped
          유형: boolean
        - name: weakPassword
          유형: boolean
        - name: weakPasswordReasons
          type: array
          element:
            type: string
        - name: workApp
          유형: boolean
        - name: appBanner
          type: object
          필드:
            - 이름: action
              type: string
            - name: buttonText
              type: string
            - name: mode
              type: string
            - name: subtext
              type: string
            - name: title
              type: string
        - name: employee
          type: object
          필드:
            - name: chatopsEnabled
              유형: boolean
            - name: creationTimestamp
              type: timestamp
              timeFormats:
                - unix
            - 이름: department
              type: string
            - 이름: email
              type: string
              지표:
                - 이메일
            - name: firstName
              type: string
            - 이름: id
              type: string
            - name: lastName
              type: string
            - name: licensed
              유형: boolean
            - 이름: location
              type: string
        - name: appType
          type: string
        - name: browser
          type: string
        - 이름: os
          type: string
        - name: sourceIpAddress
          type: string
          지표:
            - ip
        - 이름: userAgent
          type: string
    - 이름: object
      검증:
        허용: [ "LOGIN", 
            "APP_BANNER"]
      required: true
      type: string
    - 이름: timestamp
      required: true
      type: timestamp
      isEventTime: true
      timeFormats:
        - unix
    - name: version
      required: true
      type: bigint

PushSecurity.Controls

스키마: PushSecurity.Controls
설명: Push Security에서 탐지한 공격
참고URL: https://pushsecurity.redoc.ly/webhooks-v1#tag/Controls
필드:
    - 이름: id
      required: true
      type: string
    - 이름: new
      required: true
      type: object
      필드:
        - 이름: action
          type: string
        - name: appType
          type: string
        - name: browser
          type: string
        - 이름: email
          type: string
          지표:
            - 이메일
        - name: employee
          type: object
          필드:
            - name: chatopsEnabled
              유형: boolean
            - name: creationTimestamp
              type: timestamp
              timeFormats:
                - unix
            - 이름: department
              type: string
            - 이름: email
              type: string
              지표:
                - 이메일
            - name: firstName
              type: string
            - 이름: id
              type: string
            - name: lastName
              type: string
            - name: licensed
              유형: boolean
            - 이름: location
              type: string
        - name: mode
          type: string
        - 이름: os
          type: string
        - name: referrerUrl
          type: string
          지표:
            - URL
        - name: sourceIpAddress
          type: string
          지표:
            - ip
        - name: url
          type: string
          지표:
            - URL
        - 이름: userAgent
          type: string
    - 이름: object
      required: true
      type: string
    - name: category
      required: true
      type: string
      검증:
        허용:
            - CONTROL
    - 이름: timestamp
      required: true
      type: timestamp
      timeFormats:
        - unix
      isEventTime: true
    - name: version
      required: true
      type: bigint

PushSecurity.Entities

스키마: Custom.PushSecurity.Entities
설명: Push Security 앱, 직원, 계정 및 발견 항목
참고URL: https://pushsecurity.redoc.ly/webhooks-v1#tag/Entities
필드검색사용: true
필드:
    - 이름: id
      required: true
      type: string
    - 이름: new
      required: true
      type: object
      필드:
        - name: chatopsEnabled
          유형: boolean
        - 이름: department
          type: string
        - name: firstName
          type: string
        - name: lastName
          type: string
        - name: licensed
          유형: boolean
        - 이름: location
          type: string
        - name: mfaMethods
          type: array
          element:
            type: string
        - name: mfaRegistered
          유형: boolean
        - 이름: state
          type: string
        - name: appId
          type: string
        - name: appType
          type: string
        - name: passwordId
          type: string
        - name: approvalStatus
          type: string
        - name: notes
          type: string
        - name: ownerId
          type: string
        - name: sensitivityLevel
          type: string
        - 이름: type
          type: string
        - name: otherAppId
          type: string
        - name: lastUsedTimestamp
          type: timestamp
          timeFormats:
            - unix
        - name: loginMethods
          type: object
          필드:
            - name: oktaSwaLogin
              유형: boolean
            - name: vendorSsoLogin
              type: string
            - name: oidcLogin
              type: string
            - name: passwordLogin
              유형: boolean
            - name: samlLogin
              type: string
        - 이름: email
          type: string
          지표:
            - 이메일
        - name: employeeId
          type: string
        - 이름: domain
          type: string
        - name: hidden
          유형: boolean
        - 이름: name
          type: string
        - name: oauthAppId
          type: bigint
        - name: requestSupportStatus
          type: string
        - name: creationTimestamp
          type: timestamp
          timeFormats:
            - unix
        - 이름: id
          type: string
    - 이름: object
      required: true
      검증:
        허용: [ "EMPLOYEE", 
            "ACCOUNT",
            "FINDING",
            "APP",
            "ACCOUNT_OTHER",
            "APP_OTHER"]
      type: string
    - 이름: old
      required: false
      type: object
      필드:
        - name: chatopsEnabled
          유형: boolean
        - 이름: department
          type: string
        - name: firstName
          type: string
        - name: lastName
          type: string
        - name: licensed
          유형: boolean
        - 이름: location
          type: string
        - name: lastUsedTimestamp
          type: timestamp
          timeFormats:
            - unix
        - name: mfaMethods
          type: array
          element:
            type: string
        - name: mfaRegistered
          유형: boolean
        - 이름: state
          type: string
        - name: appId
          type: string
        - name: appType
          type: string
        - name: passwordId
          type: string
        - name: approvalStatus
          type: string
        - name: notes
          type: string
        - name: ownerId
          type: string
        - name: sensitivityLevel
          type: string
        - 이름: type
          type: string
        - name: otherAppId
          type: string
        - name: loginMethods
          type: object
          필드:
            - name: oidcLogin
              type: string
            - name: oktaSwaLogin
              유형: boolean
            - name: samlLogin
              type: string
            - name: vendorSsoLogin
              type: string
            - name: passwordLogin
              유형: boolean
        - 이름: email
          type: string
          지표:
            - 이메일
        - name: employeeId
          type: string
        - 이름: domain
          type: string
        - name: hidden
          유형: boolean
        - 이름: name
          type: string
        - name: oauthAppId
          type: bigint
        - name: requestSupportStatus
          type: string
        - name: creationTimestamp
          type: timestamp
          timeFormats:
            - unix
        - 이름: id
          type: string
    - 이름: timestamp
      required: true
      type: timestamp
      isEventTime: true
      timeFormats:
        - unix
    - 이름: type
      required: true
      type: string
    - name: version
      required: true
      type: bigint

PreviousProofpoint 로그 NextRapid7 로그

Last updated 3 months ago

Was this helpful?

스키마: Custom.PushSecurity.Activity 설명: Push Security 최종 사용자 활동 참고URL: https://pushsecurity.redoc.ly/webhooks-v1#tag/Activity 필드검색사용: true 필드: - 이름: id required: true type: string - 이름: new required: true type: object 필드: - 이름: accountId type: string - name: appId type: string - 이름: email type: string 지표: - 이메일 - name: employeeId type: string - 이름: identityProvider type: string - name: leakedPassword 유형: boolean - name: loginTimestamp type: timestamp timeFormats: - unix - name: loginType type: string - name: loginUrl type: string 지표: - URL - name: passwordId type: string - name: passwordManuallyTyped 유형: boolean - name: weakPassword 유형: boolean - name: weakPasswordReasons type: array element: type: string - name: workApp 유형: boolean - name: appBanner type: object 필드: - 이름: action type: string - name: buttonText type: string - name: mode type: string - name: subtext type: string - name: title type: string - name: employee type: object 필드: - name: chatopsEnabled 유형: boolean - name: creationTimestamp type: timestamp timeFormats: - unix - 이름: department type: string - 이름: email type: string 지표: - 이메일 - name: firstName type: string - 이름: id type: string - name: lastName type: string - name: licensed 유형: boolean - 이름: location type: string - name: appType type: string - name: browser type: string - 이름: os type: string - name: sourceIpAddress type: string 지표: - ip - 이름: userAgent type: string - 이름: object 검증: 허용: [ "LOGIN", "APP_BANNER"] required: true type: string - 이름: timestamp required: true type: timestamp isEventTime: true timeFormats: - unix - name: version required: true type: bigint

스키마: Custom.PushSecurity.Entities 설명: Push Security 앱, 직원, 계정 및 발견 항목 참고URL: https://pushsecurity.redoc.ly/webhooks-v1#tag/Entities 필드검색사용: true 필드: - 이름: id required: true type: string - 이름: new required: true type: object 필드: - name: chatopsEnabled 유형: boolean - 이름: department type: string - name: firstName type: string - name: lastName type: string - name: licensed 유형: boolean - 이름: location type: string - name: mfaMethods type: array element: type: string - name: mfaRegistered 유형: boolean - 이름: state type: string - name: appId type: string - name: appType type: string - name: passwordId type: string - name: approvalStatus type: string - name: notes type: string - name: ownerId type: string - name: sensitivityLevel type: string - 이름: type type: string - name: otherAppId type: string - name: lastUsedTimestamp type: timestamp timeFormats: - unix - name: loginMethods type: object 필드: - name: oktaSwaLogin 유형: boolean - name: vendorSsoLogin type: string - name: oidcLogin type: string - name: passwordLogin 유형: boolean - name: samlLogin type: string - 이름: email type: string 지표: - 이메일 - name: employeeId type: string - 이름: domain type: string - name: hidden 유형: boolean - 이름: name type: string - name: oauthAppId type: bigint - name: requestSupportStatus type: string - name: creationTimestamp type: timestamp timeFormats: - unix - 이름: id type: string - 이름: object required: true 검증: 허용: [ "EMPLOYEE", "ACCOUNT", "FINDING", "APP", "ACCOUNT_OTHER", "APP_OTHER"] type: string - 이름: old required: false type: object 필드: - name: chatopsEnabled 유형: boolean - 이름: department type: string - name: firstName type: string - name: lastName type: string - name: licensed 유형: boolean - 이름: location type: string - name: lastUsedTimestamp type: timestamp timeFormats: - unix - name: mfaMethods type: array element: type: string - name: mfaRegistered 유형: boolean - 이름: state type: string - name: appId type: string - name: appType type: string - name: passwordId type: string - name: approvalStatus type: string - name: notes type: string - name: ownerId type: string - name: sensitivityLevel type: string - 이름: type type: string - name: otherAppId type: string - name: loginMethods type: object 필드: - name: oidcLogin type: string - name: oktaSwaLogin 유형: boolean - name: samlLogin type: string - name: vendorSsoLogin type: string - name: passwordLogin 유형: boolean - 이름: email type: string 지표: - 이메일 - name: employeeId type: string - 이름: domain type: string - name: hidden 유형: boolean - 이름: name type: string - name: oauthAppId type: bigint - name: requestSupportStatus type: string - name: creationTimestamp type: timestamp timeFormats: - unix - 이름: id type: string - 이름: timestamp required: true type: timestamp isEventTime: true timeFormats: - unix - 이름: type required: true type: string - name: version required: true type: bigint

hashtag개요

hashtagPush 보안 로그를 Panther에 온보딩하는 방법

hashtag1단계: Panther에서 Push 보안 소스 생성

hashtag2단계: Push Security에서 새 웹후크 생성

hashtagPanther 관리 탐지

hashtag지원되는 로그 유형

hashtagPushSecurity.Activity

hashtagPushSecurity.Controls

hashtagPushSecurity.Entities

개요