# Push Security 로그 ## 개요 Panther는 수집합니다 [푸시 시큐리티](https://pushsecurity.com/) 웹훅을 구성하여 이벤트를 [Panther HTTP 소스로 게시하도록 로그](https://docs.panther.com/ko/data-onboarding/data-transports/http). ## Push Security 로그를 Panther에 온보딩하는 방법 ### 1단계: Panther에서 Push Security 소스 생성 1. Panther 콘솔의 왼쪽 탐색 창에서 **구성** > **로그 소스**. 2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기**. 3. “Push Security”를 검색한 다음 해당 타일을 클릭하세요. * 슬라이드 아웃 패널에서 **전송 메커니즘** 우측 상단의 드롭다운은 미리 채워진 상태일 것입니다 **HTTP** 옵션. 4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정 시작**.
An arrow is drawn from a tile labeled "Push Security" in the background to a "Start Setup" button in the foreground.
5. 다음을 따르세요 [Panther의 HTTP 소스 구성에 대한 지침](https://docs.panther.com/ko/data-onboarding/data-transports/http). * 의 경우 **인증 방법**SNS 주제 **HMAC**. * 일반 구성 **헤더 이름** 필드에 `x-signature`. * 이 소스로 전송된 페이로드는 다음의 적용을 받습니다 [모든 HTTP 소스에 대한 페이로드 요구사항](https://docs.panther.com/data-onboarding/data-transports/http#payload-requirements). * HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요. HTTP 소스를 생성한 후 Panther 콘솔에 **HTTP 소스 URL—가 표시됩니다**이것과 **비밀 키 값** 를 다음 단계에서 사용하므로 안전한 장소에 보관하세요. ### 2단계: Push Security에서 새 웹훅 생성 * Push Security에서 [Panther를 사용하여 이벤트 수집하기](https://pushsecurity.com/help/audience/administrators/docs/connect-to-siem-or-soar/ingesting-events-using-panther/#start) 문서를 따라 [Push에 통합 구성](https://pushsecurity.com/help/audience/administrators/docs/connect-to-siem-or-soar/ingesting-events-using-panther/#configure-the-integration-in-push) Panther 웹훅 통합을 설정하는 지침. ## Panther 관리 디텍션 참조 [Panther 관리](https://docs.panther.com/detections/panther-managed) Push Security용 룰은 [panther-analysis GitHub 리포지토리](https://github.com/panther-labs/panther-analysis/tree/main/rules/push_security_rules). ## 지원되는 로그 유형 ### PushSecurity.Activity ```yaml 스키마: Custom.PushSecurity.Activity 설명: Push Security 최종 사용자 활동 참조URL: https://pushsecurity.redoc.ly/webhooks-v1#tag/Activity 필드검색활성화: true 필드: - 이름: id required: true type: string - name: new required: true type: object 필드: - 이름: accountId type: string - name: appId type: string - 이름: email type: string 지표: - 이메일 - name: employeeId type: string - 이름: identityProvider type: string - name: leakedPassword 유형: boolean - name: loginTimestamp type: timestamp timeFormats: - unix - name: loginType type: string - name: loginUrl type: string 지표: - url - name: passwordId type: string - name: passwordManuallyTyped 유형: boolean - name: weakPassword 유형: boolean - name: weakPasswordReasons type: array element: type: string - name: workApp 유형: boolean - name: appBanner type: object 필드: - 이름: action type: string - name: buttonText type: string - name: mode type: string - name: subtext type: string - 이름: title type: string - name: employee type: object 필드: - name: chatopsEnabled 유형: boolean - name: creationTimestamp type: timestamp timeFormats: - unix - name: department type: string - 이름: email type: string 지표: - 이메일 - name: firstName type: string - 이름: id type: string - name: lastName type: string - name: licensed 유형: boolean - 이름: location type: string - name: appType type: string - name: browser type: string - 이름: os type: string - name: sourceIpAddress type: string 지표: - ip - 이름: userAgent type: string - 이름: object 검증: 허용: [ "LOGIN", "APP_BANNER"] required: true type: string - 이름: timestamp required: true type: timestamp isEventTime: true timeFormats: - unix - name: version required: true type: bigint ``` ### PushSecurity.Controls ```yaml 스키마: PushSecurity.Controls 설명: Push Security에서 탐지된 공격 참조URL: https://pushsecurity.redoc.ly/webhooks-v1#tag/Controls 필드: - 이름: id required: true type: string - name: new required: true type: object 필드: - 이름: action type: string - name: appType type: string - name: browser type: string - 이름: email type: string 지표: - 이메일 - name: employee type: object 필드: - name: chatopsEnabled 유형: boolean - name: creationTimestamp type: timestamp timeFormats: - unix - name: department type: string - 이름: email type: string 지표: - 이메일 - name: firstName type: string - 이름: id type: string - name: lastName type: string - name: licensed 유형: boolean - 이름: location type: string - name: mode type: string - 이름: os type: string - name: referrerUrl type: string 지표: - url - name: sourceIpAddress type: string 지표: - ip - name: url type: string 지표: - url - 이름: userAgent type: string - 이름: object required: true type: string - name: category required: true type: string 검증: 허용: - CONTROL - 이름: timestamp required: true type: timestamp timeFormats: - unix isEventTime: true - name: version required: true type: bigint ``` ### PushSecurity.Entities ```yaml 스키마: Custom.PushSecurity.Entities 설명: Push Security 앱, 직원, 계정 및 발견 항목 참조URL: https://pushsecurity.redoc.ly/webhooks-v1#tag/Entities 필드검색활성화: true 필드: - 이름: id required: true type: string - name: new required: true type: object 필드: - name: chatopsEnabled 유형: boolean - name: department type: string - name: firstName type: string - name: lastName type: string - name: licensed 유형: boolean - 이름: location type: string - name: mfaMethods type: array element: type: string - name: mfaRegistered 유형: boolean - 이름: state type: string - name: appId type: string - name: appType type: string - name: passwordId type: string - name: approvalStatus type: string - name: notes type: string - name: ownerId type: string - name: sensitivityLevel type: string - 이름: type type: string - name: otherAppId type: string - name: lastUsedTimestamp type: timestamp timeFormats: - unix - name: loginMethods type: object 필드: - name: oktaSwaLogin 유형: boolean - name: vendorSsoLogin type: string - name: oidcLogin type: string - name: passwordLogin 유형: boolean - name: samlLogin type: string - 이름: email type: string 지표: - 이메일 - name: employeeId type: string - name: domain type: string - name: hidden 유형: boolean - 이름: name type: string - name: oauthAppId type: bigint - name: requestSupportStatus type: string - name: creationTimestamp type: timestamp timeFormats: - unix - 이름: id type: string - 이름: object required: true 검증: 허용: [ "EMPLOYEE", "ACCOUNT", "FINDING", "APP", "ACCOUNT_OTHER", "APP_OTHER"] type: string - name: old required: false type: object 필드: - name: chatopsEnabled 유형: boolean - name: department type: string - name: firstName type: string - name: lastName type: string - name: licensed 유형: boolean - 이름: location type: string - name: lastUsedTimestamp type: timestamp timeFormats: - unix - name: mfaMethods type: array element: type: string - name: mfaRegistered 유형: boolean - 이름: state type: string - name: appId type: string - name: appType type: string - name: passwordId type: string - name: approvalStatus type: string - name: notes type: string - name: ownerId type: string - name: sensitivityLevel type: string - 이름: type type: string - name: otherAppId type: string - name: loginMethods type: object 필드: - name: oidcLogin type: string - name: oktaSwaLogin 유형: boolean - name: samlLogin type: string - name: vendorSsoLogin type: string - name: passwordLogin 유형: boolean - 이름: email type: string 지표: - 이메일 - name: employeeId type: string - name: domain type: string - name: hidden 유형: boolean - 이름: name type: string - name: oauthAppId type: bigint - name: requestSupportStatus type: string - name: creationTimestamp type: timestamp timeFormats: - unix - 이름: id type: string - 이름: timestamp required: true type: timestamp isEventTime: true timeFormats: - unix - 이름: type required: true type: string - name: version required: true type: bigint ```