> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/slack.md). # Slack 로그 ## 개요 Panther는 다음 Slack 로그를 가져올 수 있습니다: * **감사 로그**, 다음을 쿼리하여 [감사 로그 API](https://api.slack.com/admins/audit-logs). * 감사 로그 API는 Slack의 다음을 사용하는 고객만 이용할 수 있습니다: [Enterprise+](https://app.slack.com/plans) 요금제. * **액세스 로그**, 다음을 쿼리하여 [team.accessLogs API](https://api.slack.com/methods/team.accessLogs). * 이 API는 모든 유료 Slack [요금제에서](https://app.slack.com/plans). * 참고: Slack의 속도 제한 때문에 Panther는 사용자, 액세스 위치 또는 액세스 기기가 새로 생긴 이벤트만 가져옵니다. * **통합 로그**, 다음을 쿼리하여 [team.integrationLogs API](https://api.slack.com/methods/team.integrationLogs). * 이 API는 모든 유료 Slack 요금제에서 사용할 수 있습니다. {% hint style="info" %} 액세스 및 통합 로그는 Panther의 동일한 Slack 로그 소스를 통해 수집할 수 있지만, 감사 로그는 별도의 Slack 로그 소스를 통해 수집해야 합니다. 그러나 [감사 로그](https://api.slack.com/admins/audit-logs) 는 액세스 및 통합 로그에 해당하는 모든 작업을 포함할 가능성이 높기 때문에, 세 가지 로그 유형을 모두 수집해야 할 가능성은 낮습니다. {% endhint %} Panther는 1분마다 API를 조회합니다. Panther가 Slack API에 액세스하려면 Panther에 새 Slack 소스를 만들고, Slack App을 만든 다음, 앱 자격 증명을 Panther에 제공해야 합니다. ### 동영상 안내 {% embed url="" %} Slack 로그를 Panther에 온보딩하는 방법을 보여주는 안내 동영상 {% endembed %} ## Slack 로그를 Panther에 온보딩하는 방법 ### Panther에서 새 Slack 소스 만들기 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**. 2. 다음을 클릭합니다: **새로 만들기.** 3. "Slack"을 검색한 다음 해당 타일을 클릭합니다. 4. 슬라이드아웃 패널에서 다음을 클릭합니다 **설정 시작**. 5. 다음에서 **구성** 화면에서 다음 필드의 값을 입력합니다: * **이름**: 소스에 대한 설명이 담긴 이름을 입력합니다. 예: `내 Slack 로그`. * **다음을 선택합니다:** [**Slack 요금제**](https://app.slack.com/plans): 다음 옵션 중에서 선택합니다: * **Enterprise Grid** (현재 Enterprise+로 알려짐): 이 옵션을 사용하면 소스가 다음을 수신할 수 있습니다: [Slack.AuditLogs](#slack.auditlogs). * **Standard/Plus** (현재 Pro/Business+로 알려짐): 이 옵션을 사용하면 소스가 다음을 수신할 수 있습니다: [Slack.AccessLogs](#slack.accesslogs) 및/또는 [Slack.IntegrationLogs](#slack.integrationlogs). 6. 다음을 클릭합니다: **설정**. 7. 다음에서 **자격 증명 설정** 페이지에서 **복사** 리디렉션 URL을 복사한 다음 안전한 곳에 저장합니다. 다음 단계에서 필요합니다. 8. 다음 단계를 진행하는 동안 이 브라우저 창을 열어 둡니다. ### 새 Slack 앱 만들기 Slack에서 로그를 가져올 권한이 있는 Slack 앱을 만듭니다. 보안 및 가용성상의 이유로, 다음을 사용하는 새 **새** Slack App을 만들고 Panther 전용으로 사용하도록 권장합니다. 다음용 앱을 만들 수 있습니다: * [감사 로그](#audit-logs) * [액세스 또는 통합 로그](#access-logs) ### 감사 로그를 가져오는 Slack 앱을 만드는 방법 아래 지침에 따라 Panther 계정으로 감사 로그를 가져오는 Slack 앱을 만드세요. 감사 로그 API는 다음이 있는 고객만 사용할 수 있습니다: **Slack Enterprise+** 요금제 **전용**. 액세스 또는 통합 로그를 가져오려면 다음 섹션을 참조하세요: [액세스 또는 통합 로그를 가져오는 Slack 앱을 만드는 방법](#access-logs). 1. [모니터링하려는 Enterprise가 속한 Slack 워크스페이스에 로그인합니다.](https://slack.com/workspace-signin) 모니터링하려는 Enterprise에 속한 워크스페이스에 로그인해야 합니다. * 다음 계정으로 로그인해야 합니다: **owner** 조직의 2. Enterprise의 모든 워크스페이스가 표시되는 화면에서 **Slack에서 실행** 모니터링하려는 워크스페이스에서 클릭합니다. 3. 다음으로 이동하세요 [Slack 앱](https://api.slack.com/apps) 을(를) 선택한 다음 **새 앱 만들기**를 클릭한 다음 **처음부터**.\ ![In the Slack admin portal, the "Create an App" popup dialog is displayed. There are two options: From scratch, and From an app manifest (beta).](/files/e0edfd11b5005c0abef87596c016c15dbf1ce010) * 다음을 입력합니다: **앱 이름** 예: `Panther monitoring`. * 이전에 로그인했던 워크스페이스를 선택합니다. !["Create a Slack App" 양식에는 App Name 필드가 표시되며, 그 안에 "Panther monitoring"이 입력되어 있습니다. "Development Slack Workspace"라는 드롭다운 메뉴가 있습니다. 페이지 하단에는 회색의 "Create App" 버튼이 있습니다.](/files/deda66a078a7152b10f233d8af5a22938984cf48) 4. 다음을 클릭합니다: **앱 만들기**. * 앱은 선택한 워크스페이스에 생성되며, 이후 전체 Enterprise 조직을 모니터링할 수 있게 됩니다. 5. 왼쪽 사이드바 메뉴에서 **OAuth 및 권한**. 6. 아래로 스크롤하여 **리디렉션 URL** 섹션. 7. 다음을 클릭합니다: **추가** 를 클릭하고 **리디렉션 URL을** 이 문서의 이전 섹션에서 Panther Console에서 복사한 값을 입력합니다.\ ![In Slack, the "Oauth and Permissions" tab on the left sidebar is highlighted. There is a red arrow pointing to a header in the middle of the page labeled "Redirect URLs." There is a red circle around a Redirect URL field.](/files/cbc4fd95c9250e310276b5f6ccae2c30a84d59be) 8. 다음을 클릭합니다: **URL 저장**. 9. 아래로 스크롤하여 **사용자 토큰 범위** 섹션으로 이동합니다. `auditlogs:read` 범위를 추가합니다.\ ![In the Slack admin console, there is a header called "User Token Scopes." In the image, there is a red circle around a field labeled "Add permission by Scope or API Method...". The option "auditlogsread" is selected.](/files/cdbab3d095f40ae71c233a6491757ceb0f7431b0) 10. 왼쪽 사이드바에서 **설정 >** **배포 관리로 이동합니다.** 11. "**다른 워크스페이스와 앱 공유**"라는 제목의 섹션에서 다음 옵션을 활성화합니다: * **기능 및 기능성 활성화** * **OAuth 리디렉션 URL 추가** * **하드코딩된 정보 제거** * **기능에 HTTPS 사용** 12. 다음을 클릭합니다: **공개 배포 활성화**. * **참고:** 이렇게 해도 Slack App이 다른 조직에서 접근 가능해지는 것은 아닙니다. Slack은 다음을 가져오려면 이 설정을 요구합니다: [감사 로그](https://api.slack.com/admins/audit-logs).\ ![In the Slack admin portal, there is a section labeled "Share your App with Other Workspaces." It displays a list of steps, which all have green checkmarks next to them. At the bottom, there is a green button labeled "Activate Public Distribution."](/files/77a95fe49a1416bc97e4dba1a496e7e8937a9755) 13. 왼쪽 사이드바에서 **설정** > **기본 정보**. 14. 다음의 **앱 자격 증명** 섹션에서 다음을 복사합니다: **클라이언트 ID** 그리고 **클라이언트 시크릿**. 15. 다음 아래의 단계를 따르세요: [Panther에서 Slack 온보딩 마무리](https://docs.runpanther.io/data-onboarding/saas-logs/slack#finalize) 이 프로세스를 완료합니다.
In the Slack admin console, the App Credentials page is open. There are fields for App ID, Date of App Creation, Client ID, Client Secret, and Signing Secret. There is a red circle around the Client ID and Client Secret fields.
### 액세스 또는 통합 로그를 가져오는 Slack 앱을 만드는 방법 액세스 로그 및 통합 로그 API는 모든 유료 Slack 요금제에서 사용할 수 있습니다. 감사 로그를 가져오려면 이전 섹션을 참조하세요: [감사 로그를 가져오는 Slack 앱을 만드는 방법](#audit-logs). 1. [모니터링하려는 Enterprise가 속한 Slack 워크스페이스에 로그인합니다.](https://slack.com/workspace-signin) 모니터링하려는 * 다음 계정으로 로그인해야 합니다: **owner** 조직의 2. 워크스페이스가 표시되는 화면에서 **Slack에서 실행** 모니터링하려는 워크스페이스에서 클릭합니다. 3. 다음으로 이동하세요 [Slack 앱](https://api.slack.com/apps) 을(를) 선택한 다음 **새 앱 만들기**를 클릭한 다음 **처음부터**.\ ![In the Slack admin portal, the "Create an App" popup dialog is displayed. There are two options: From scratch, and From an app manifest (beta).](/files/e0edfd11b5005c0abef87596c016c15dbf1ce010) * 다음을 입력합니다: **앱 이름** 예: `Panther monitoring`. * 이전에 로그인했던 워크스페이스를 선택합니다. !["Create a Slack App" 양식에는 App Name 필드가 표시되며, 그 안에 "Panther monitoring"이 입력되어 있습니다. "Development Slack Workspace"라는 드롭다운 메뉴가 있습니다. 페이지 하단에는 회색의 "Create App" 버튼이 있습니다.](/files/deda66a078a7152b10f233d8af5a22938984cf48) 4. 다음을 클릭합니다: **앱 만들기**. * 앱은 선택한 워크스페이스에 생성됩니다. 5. 왼쪽 사이드바 메뉴에서 **OAuth 및 권한**. 6. 아래로 스크롤하여 **리디렉션 URL** 섹션. 7. 다음을 클릭합니다: **추가** 를 클릭하고 **리디렉션 URL을** 이 문서의 이전 섹션에서 Panther Console에서 복사한 값을 입력합니다.\ ![In Slack, the "Oauth and Permissions" tab on the left sidebar is highlighted. There is a red arrow pointing to a header in the middle of the page labeled "Redirect URLs." There is a red circle around a Redirect URL field.](/files/cbc4fd95c9250e310276b5f6ccae2c30a84d59be) 8. 다음을 클릭합니다: **URL 저장**. 9. 다음이라는 제목의 섹션까지 아래로 스크롤합니다. **범위** > **사용자 토큰 범위**. 다음을 추가합니다: `admin` Slack API 문서에 표시된 대로 다음에 대한 범위를: [액세스](https://api.slack.com/methods/team.accessLogs) 그리고 [통합](https://api.slack.com/methods/team.integrationLogs) 로그. 10. 왼쪽 사이드바에서 **설정** > **기본 정보**. 11. 다음의 **앱 자격 증명** 섹션에서 다음을 복사합니다: **클라이언트 ID** 그리고 **클라이언트 시크릿**.\ ![In the Slack admin console, the App Credentials page is open. There are fields for App ID, Date of App Creation, Client ID, Client Secret, and Signing Secret. There is a red circle around the Client ID and Client Secret fields.](/files/266e85e52f0e8dfc06d1f7c0a927c1894ec2681a) 12. 다음 아래의 단계를 따르세요: [Panther에서 Slack 온보딩 마무리](https://docs.runpanther.io/data-onboarding/saas-logs/slack#finalize) 이 프로세스를 완료합니다. ### Panther에서 Slack 온보딩 마무리 1. Panther Console로 돌아갑니다. 2. "자격 증명 설정" 페이지에서 Slack의 Client ID를 Client ID 필드에 붙여넣고, Slack의 Client Secret을 **클라이언트 시크릿** 필드에 붙여넣습니다. 3. 다음을 클릭합니다: **설정**. 4. 다음을 클릭합니다: **소스 저장**. 5. 다음에서 **설정 확인** 화면에서 **액세스 허용**. * 앱을 설치하기 위한 Slack 페이지로 리디렉션됩니다. * 감사 로그의 경우 반드시 **Enterprise 조직** 그리고 **이 아니라** 특정 워크스페이스에 설치해야 합니다! 6. 다음을 클릭합니다: **허용합니다.** 7. Panther Console에서 **설정**. 성공 화면으로 이동됩니다:
The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"
* 선택적으로 하나 이상의 [디택션 팩](https://docs.panther.com/detections/panther-managed/packs). * 해당 **이벤트가 처리되지 않을 때 알러트를 트리거** 설정의 기본값은 **YES**. 이 옵션은 활성화된 상태로 두는 것을 권장합니다. 일정 시간이 지난 후 로그 소스에서 데이터 흐름이 중단되면 알림을 받게 되기 때문입니다. 이 시간은 구성 가능하며 기본값은 24시간입니다.
The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day
{% hint style="warning" %} **참고:** 다음의 경우 통합에 제한이 생길 수 있습니다: * 조직에 앱을 설치한 사용자의 계정이 비활성화된 경우 * 앱이 삭제되었거나, 액세스 토큰이 취소되었거나, 앱 자격 증명이 교체된 경우 {% endhint %} ## Panther가 만든 탐지 Panther에 내장된 [Github의 panther-analysis에 있는 Slack 규칙](https://github.com/panther-labs/panther-analysis/tree/master/rules/slack_rules). ## 지원되는 로그 유형 ### Slack.AccessLogs Slack 워크스페이스의 사용자에 대한 액세스 로그. **참고:** Slack의 속도 제한 때문에 Panther는 사용자, 액세스 위치 또는 액세스 기기가 새로 생긴 이벤트만 가져옵니다. Panther는 이벤트의 `date_last`, `count` 필드를 업데이트하지 않습니다.' 참조: [액세스 로그에 대한 Slack 문서.](https://api.slack.com/methods/team.accessLogs) ```yaml schema: Slack.AccessLogs 파서: native: name: Slack.AccessLogs description: 'Slack 워크스페이스의 사용자에 대한 액세스 로그. 참고: Slack의 속도 제한 때문에 Panther는 사용자, 액세스 위치 또는 액세스 기기가 새로 생긴 이벤트만 가져옵니다. Panther는 이벤트의 `date_last`, `count` 필드를 업데이트하지 않습니다.' referenceURL: https://api.slack.com/methods/team.accessLogs fields: - 이름: user_id required: true Slack에 액세스하는 사용자의 ID입니다. type: string - 이름: username Slack에 액세스하는 사용자의 사용자 이름입니다. type: string 표시자: - 사용자명 - name: date_first required: true description: 이 사용자, IP 주소, 사용자 에이전트 조합에 대한 최초 액세스 로그 항목의 Unix 타임스탬프입니다. type: timestamp 시간 형식: unix - name: date_last required: true description: '이 사용자, IP 주소, 사용자 에이전트 조합에 대한 가장 최근 액세스 로그 항목의 Unix 타임스탬프입니다. 참고: Slack API에서 업데이트되더라도 Panther는 이 필드를 업데이트하지 않습니다.' type: timestamp 시간 형식: unix isEventTime: true - 이름: count required: true description: 해당 조합에 대한 총 액세스 로그 항목 수입니다. 참고: Slack API에서 업데이트되더라도 Panther는 이 필드를 업데이트하지 않습니다. type: bigint - 이름: ip required: true description: Slack에 액세스하는 데 사용된 기기의 IP 주소입니다. type: string 표시자: - ip - 이름: user_agent description: 브라우저 또는 클라이언트 애플리케이션에서 보고한 사용자 에이전트 문자열입니다. type: string - 이름: isp description: IP 주소를 소유한 인터넷 서비스 제공업체에 대한 가장 근접한 추정입니다. type: string - name: country description: IP 주소를 기준으로 액세스가 발생한 위치에 대한 가장 근접한 추정입니다. type: string - 이름: region description: IP 주소를 기준으로 액세스가 발생한 위치에 대한 가장 근접한 추정입니다. type: string ``` ### Slack.AuditLogs Slack 감사 로그는 Enterprise 조직에서 사용자가 수행한 작업을 보여줍니다. 참조: [감사 로그에 대한 Slack 문서.](https://api.slack.com/admins/audit-logs) ```yaml schema: Slack.AuditLogs 파서: native: name: Slack.AuditLogs description: Slack 감사 로그는 Enterprise 조직에서 사용자가 수행한 작업을 보여줍니다. referenceURL: https://api.slack.com/enterprise/audit-logs fields: - 이름: id required: true description: 이벤트 ID type: string - name: date_create required: true description: 이벤트 생성 타임스탬프 type: timestamp 시간 형식: unix isEventTime: true - 이름: action required: true description: 수행된 작업입니다. https://api.slack.com/enterprise/audit-logs#audit_logs_actions 참조 type: string - 이름: actor required: true description: 행위자는 항상 워크스페이스의 사용자이며 W123AB456과 같은 사용자 ID로 식별됩니다. type: object fields: - 이름: type required: true description: 행위자의 유형(항상 user) type: string - 이름: user description: 사용자에 대한 정보 type: object fields: - 이름: id required: true description: 사용자의 ID(작업을 수행한 사용자가 없으면 'USLACKUSER') type: string - 이름: name description: 사용자의 표시 이름 type: string 표시자: - 사용자명 - 이름: email description: 사용자의 이메일 type: string 표시자: - 이메일 - name: team description: 사용자의 팀 type: string - 이름: entity required: true description: 엔티티는 행위자가 작업을 수행한 대상이며, 해당 대상의 Slack ID가 됩니다. type: object fields: - 이름: type required: true description: 작업의 영향을 받은 항목 유형(user,channel,file,app,workspace,enterprise,message,workflow) type: string - 이름: user description: 영향을 받은 사용자에 대한 정보 type: object fields: - 이름: id required: true description: 사용자의 ID(작업을 수행한 사용자가 없으면 'USLACKUSER') type: string - 이름: name description: 사용자의 표시 이름 type: string 표시자: - 사용자명 - 이름: email description: 사용자의 이메일 type: string 표시자: - 이메일 - name: team description: 사용자의 팀 type: string - name: channel description: 영향을 받은 채널에 대한 정보 type: object fields: - 이름: id required: true description: 채널 ID type: string - 이름: name description: 채널 이름 type: string - name: privacy description: 채널의 비공개 모드 type: string - name: is_shared description: 채널이 공유되는지 여부 유형: boolean - name: is_org_shared description: 조직 내에서 채널이 공유되는지 여부 유형: boolean - name: teams_shared_with description: 채널이 공유되는 팀 type: array element: type: string - 이름: file description: 영향을 받은 파일에 대한 정보 type: object fields: - 이름: id required: true description: 파일 ID type: string - 이름: name description: 파일 이름 type: string - name: title description: 파일 제목 type: string - name: filetype description: 파일 형식 type: string - name: app description: 영향을 받은 앱에 대한 정보 type: object fields: - 이름: id required: true description: 앱 ID type: string - 이름: name description: 앱 이름 type: string - name: is_distributed description: 앱이 배포되는지 여부 유형: boolean - name: is_directory_approved description: 앱이 승인된 앱 디렉터리에 있는지 여부 유형: boolean - name: scopes description: 앱이 필요로 하는 OAuth2 범위 type: array element: type: string - name: workspace description: 영향을 받은 워크스페이스에 대한 정보 type: object fields: - 이름: id required: true description: 워크스페이스 ID type: string - 이름: name description: 워크스페이스 이름 type: string - 이름: domain description: 워크스페이스 도메인 type: string - name: enterprise description: 영향을 받은 Enterprise에 대한 정보 type: object fields: - 이름: id required: true description: Enterprise ID type: string - 이름: name description: Enterprise 이름 type: string - 이름: domain description: Enterprise 도메인 type: string - name: workflow description: 영향을 받은 워크플로에 대한 정보 type: object fields: - 이름: id required: true description: 워크플로 ID type: string - 이름: name description: 워크플로 이름 type: string - name: message description: 영향을 받은 메시지에 대한 정보 type: object fields: - name: team description: 메시지가 게시된 팀 type: string - name: channel description: 메시지가 게시된 채널 type: string - 이름: timestamp description: 메시지의 타임스탬프 type: string - 이름: context required: true description: 컨텍스트는 행위자가 엔티티에 작업을 수행한 위치입니다. 항상 워크스페이스 또는 Enterprise이며, შესაბამის한 ID를 가집니다. type: object fields: - 이름: ua description: 작업에 사용된 사용자 에이전트 type: string - 이름: ip_address description: 작업이 수행된 IP 주소 type: string 표시자: - ip - 이름: location description: 행위자가 엔티티에 작업을 수행한 위치입니다. type: object fields: - 이름: type required: true description: 위치 유형입니다. 항상 워크스페이스 또는 Enterprise입니다. type: string - 이름: id required: true description: 위치 ID type: string - 이름: domain description: 위치 도메인 type: string - 이름: name description: 위치 이름 type: string - 이름: details description: 감사 로그 이벤트에 대한 추가 세부 정보 유형: json ``` ### Slack.IntegrationLogs 통합이 추가, 수정, 제거될 때를 포함한 팀의 통합 활동 로그입니다. 참조: [통합 로그에 대한 Slack 문서.](https://api.slack.com/methods/team.integrationLogs) ```yaml schema: Slack.IntegrationLogs 파서: native: name: Slack.IntegrationLogs description: 통합이 추가, 수정 및 제거될 때를 포함한 팀의 통합 활동 로그입니다. referenceURL: https://api.slack.com/methods/team.integrationLogs fields: - 이름: user_id required: true description: 작업을 수행하는 사용자의 ID입니다. type: string - 이름: user_name description: 작업을 수행하는 사용자의 사용자 이름입니다. type: string 표시자: - 사용자명 - name: service_id description: 이 로그가 관련된 서비스 ID입니다. type: string - name: service_type description: 이 로그가 관련된 서비스 유형입니다. type: string - 이름: app_id description: 이 로그가 관련된 앱 ID입니다. type: string - name: app_type description: 이 로그가 관련된 앱 유형입니다. type: string - name: date required: true description: 작업이 발생한 날짜입니다. type: timestamp 시간 형식: unix isEventTime: true - name: change_type required: true description: 이 작업의 유형(added, removed, enabled, disabled, updated)입니다. type: string - name: scope description: 이 작업에 사용된 범위입니다. type: string - name: channel description: 관련 채널입니다. type: string - 이름: reason description: 비활성화 작업의 사유로, 이 이벤트가 해당 작업을 가리키는 경우 채워집니다. type: string - name: rss_feed description: 이 로그 항목이 RSS 피드이면 true입니다. true인 경우 RSS 피드 관련 필드가 더 표시됩니다. 유형: boolean - name: rss_feed_change_type description: RSS 피드의 변경 유형입니다. type: string - name: rss_feed_title description: RSS 피드의 제목입니다. type: string - name: rss_feed_url description: RSS 피드의 URL입니다. type: string ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/slack.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.