# Rapid7 로그
## 개요
Panther는 Rapid7의 [감사 로그](https://docs.rapid7.com/insight/audit-logging/) 를 [InsightIDR](https://www.rapid7.com/products/insightidr/).
## Rapid7 AuditLogs를 Panther에 온보딩하는 방법
### 1단계: Rapid7에서 감사 로깅 활성화
* 다음을 따르세요 [감사 로깅을 활성화하는 방법에 대한 Rapid7 지침](https://docs.rapid7.com/insight/audit-logging/#enable-audit-logging).
* 다음을 복사하세요 **데이터 저장 영역** 값을 복사하여 안전한 위치에 저장하세요. 이후 단계에서 필요합니다.
### 2단계: Rapid7에서 API 키 생성
* 다음을 따르세요 [API 키를 생성하는 방법에 대한 Rapid7 지침](https://docs.rapid7.com/insight/managing-platform-api-keys). 사용자 키 대신 조직 키를 생성하는 것이 권장되며, 이는 [관리자 권한이 있어야 합니다](https://docs.rapid7.com/insight/audit-logging/) 감사 로그 이벤트를 올바르게 보고 쿼리하기 위해서입니다.
* API 키 값을 복사하여 안전한 위치에 저장하세요. 이후 단계에서 필요합니다.
### 3단계: Panther에서 새 Rapid7 로그 소스 생성
1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요 **구성** > **로그 소스.**
2. 클릭 **새로 만들기**.
3. “Rapid7”을 검색한 다음 해당 타일을 클릭하세요.
4. 슬라이드 아웃 패널에서 다음을 클릭하세요 **설정 시작**.\\
5. 다음 화면에서 소스에 대한 설명이 포함된 이름을 입력하세요. 예: `내 Rapid7 로그`.
6. 다음의 **자격 증명 설정** 페이지에서 다음 필드를 입력하세요:
* **저장 영역**: 축약된 버전의 **데이터 저장 영역** 1단계에서 Rapid7에서 기록해 둔 값을 입력하세요. 예를 들어, 귀하의 리전이 `미국 - 3`인 경우 다음을 입력하세요 `us3`.
* 이 값을 다시 찾아야 하는 경우 Rapid7 Platform 콘솔의 **홈** 섹션, 즉 **설정** 페이지 내에서 찾을 수 있습니다. Rapid7 콘솔 URL에서도 확인할 수 있을 수 있습니다.
* **API 키**: 2단계에서 Rapid7에서 생성한 API 키를 입력하세요.
7. 클릭 **설정**. 성공 화면으로 이동합니다:
* 선택적으로 하나 이상의 [디택션 팩](https://docs.panther.com/detections/panther-managed/packs).
* The **이벤트가 처리되지 않을 때 알러트 트리거** 설정의 기본값은 **예**입니다. 일정 시간이 지난 후 로그 소스에서 데이터 흐름이 중단되면 알러트를 받게 되므로 이 설정을 활성화된 상태로 유지하는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\\
## 지원되는 로그 유형
### Rapid7.AuditLog
```yaml
스키마: Rapid7.AuditLog
설명: Rapid7 InsightIDR 감사 로그
참조 URL: https://docs.rapid7.com/insightidr/audit-logging/
fields:
- name: action
required: true
설명: 수행된 작업입니다.
type: string
- name: audit_id
required: true
설명: 감사 로그 항목의 고유 식별자입니다.
type: string
- 이름: result
설명: 수행된 작업의 결과입니다.
type: string
- 이름: access_method
설명: 서비스에 액세스하는 데 사용된 방법입니다.
type: string
- 이름: product
설명: 로그 항목과 관련된 제품입니다.
type: string
- name: 설명
설명: 작업에 대한 추가 세부 정보 또는 컨텍스트입니다.
type: string
- 이름: service_info
설명: 서비스 및 이벤트에 대한 정보입니다.
type: object
fields:
- 이름: previousEntry
설명: 로그의 이전 항목에 대한 정보입니다.
유형: json
- 이름: event
설명: 로그 항목을 트리거한 이벤트에 대한 세부 정보입니다.
type: object
fields:
- name: type
설명: 이벤트의 유형입니다.
type: string
- 이름: correlationId
설명: 추적을 위한 상관 식별자입니다.
type: string
- 이름: customerId
설명: 고객 식별자입니다.
type: string
- 이름: updatedBy
설명: 항목을 업데이트한 사람 또는 대상의 식별자입니다.
type: string
indicators:
- email
- 이름: initiatorIdentification
설명: 시작자의 식별 세부 정보입니다.
type: object
fields:
- name: 이메일
설명: 시작자의 이메일입니다.
type: string
indicators:
- email
- 이름: userId
설명: 시작자의 사용자 ID입니다.
type: string
- 이름: apiKeyId
설명: 해당하는 경우 시작자의 API 키 ID입니다.
type: string
- 이름: automatedFlowName
설명: 해당하는 경우 자동화된 흐름의 이름입니다.
type: string
- 이름: customerId
설명: 시작자의 고객 ID입니다.
type: string
- 이름: 타임스탬프
설명: 이벤트 타임스탬프입니다.
유형: 타임스탬프
timeFormats:
- unix_ms
isEventTime: true
- name: type
설명: 서비스 정보의 유형입니다.
type: string
- name: 시간
required: true
설명: 감사 로그의 타임스탬프입니다.
유형: 타임스탬프
timeFormats:
- rfc3339
isEventTime: true
- name: request
설명: 사용자 정보를 포함한 요청 세부 정보입니다.
type: object
fields:
- 이름: user
설명: 요청의 사용자 세부 정보입니다.
type: object
fields:
- name: 이메일
설명: 사용자의 이메일입니다.
type: string
indicators:
- email
- name: name
설명: 사용자의 이름입니다.
type: string
indicators:
- 사용자 이름
```
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.panther.com/ko/data-onboarding/supported-logs/rapid7.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.