# Slack 로그 ## 개요 Panther는 다음 Slack 로그를 수집할 수 있습니다: * **감사 로그**를 쿼리하여 [Audit Logs API](https://api.slack.com/admins/audit-logs). * Audit Logs API는 Slack 고객 중 [Enterprise+](https://app.slack.com/plans) 플랜을 사용하는 고객에게만 제공됩니다. * **액세스 로그**를 쿼리하여 [team.accessLogs API](https://api.slack.com/methods/team.accessLogs). * 이 API는 모든 Slack 유료 [플랜에서 사용할 수 있습니다](https://app.slack.com/plans). * 참고: Slack의 속도 제한 때문에 Panther는 사용자 또는 액세스 위치 또는 액세스 기기가 새로워진 이벤트만 가져옵니다. * **통합 로그**를 쿼리하여 [team.integrationLogs API](https://api.slack.com/methods/team.integrationLogs). * 이 API는 모든 Slack 유료 플랜에서 사용할 수 있습니다. {% hint style="info" %} 액세스 및 통합 로그는 Panther의 동일한 Slack 로그 소스를 통해 수집할 수 있지만, 감사 로그는 별도의 Slack 로그 소스를 통해 수집해야 합니다. 그러나 [감사 로그는](https://api.slack.com/admins/audit-logs) 액세스 및 통합 로그로 표현되는 모든 작업을 포함할 가능성이 높으므로, 세 가지 유형의 로그를 모두 수집할 필요는 거의 없습니다. {% endhint %} Panther는 1분마다 API를 쿼리합니다. Panther가 Slack API에 액세스할 수 있으려면 Panther에서 새 Slack 소스를 생성하고, Slack 앱을 만든 다음, 해당 앱 자격 증명을 Panther에 제공해야 합니다. ### 비디오 안내 {% embed url="" %} Slack 로그를 Panther에 온보딩하는 방법을 보여주는 안내 비디오 {% endembed %} ## Slack 로그를 Panther에 온보딩하는 방법 ### Panther에서 새 Slack 소스 생성 1. Panther Console의 왼쪽 탐색 모음에서 **구성하세요.** > **로그 소스**. 2. 을 클릭한 다음 **새로 만들기 를 클릭합니다.** 3. "Slack"을 검색한 다음 해당 타일을 클릭합니다. 4. 슬라이드아웃 패널에서 다음을 클릭합니다 **설정 시작**. 5. 다음 **구성** 화면에서 다음 필드의 값을 입력합니다: * **이름**: 소스에 대한 설명적인 이름을 입력합니다. 예: `내 Slack 로그`. * **다음을 선택하세요** [**Slack 플랜**](https://app.slack.com/plans): 다음 옵션 중에서 선택합니다: * **Enterprise Grid** (현재 Enterprise+로 알려짐): 이 옵션은 소스가 다음을 수신하도록 활성화합니다 [Slack.AuditLogs](#slack.auditlogs). * **Standard/Plus** (현재 Pro/Business+로 알려짐): 이 옵션은 소스가 다음을 수신하도록 활성화합니다 [Slack.AccessLogs](#slack.accesslogs) 및/또는 [Slack.IntegrationLogs](#slack.integrationlogs). 6. 을 클릭한 다음 **설정**. 7. 다음 **자격 증명 설정** 페이지에서, **복사** 하여 Redirect URL을 저장소에 안전하게 보관하세요. 다음 단계에서 필요합니다. 8. 다음 단계를 진행하는 동안 이 브라우저 창을 열어 둡니다. ### 새 Slack 앱 만들기 Slack에서 로그를 가져올 수 있는 권한이 있는 Slack 앱을 만듭니다. 보안 및 가용성상의 이유로, Panther와 함께만 사용할 **새** Slack 앱을 만드는 것을 권장합니다. 다음 용도의 앱을 만들 수 있습니다: * [감사 로그](#audit-logs) * [액세스 또는 통합 로그](#access-logs) ### 감사 로그를 가져오기 위한 Slack 앱 만드는 방법 아래 지침에 따라 감사 로그를 Panther 계정으로 가져오는 Slack 앱을 만드세요. Audit Logs API는 **Slack Enterprise+** 플랜 **사용자만**. 사용할 수 있습니다. 액세스 또는 통합 로그를 가져오려면 다음 섹션을 참조하세요: [액세스 또는 통합 로그를 가져오기 위한 Slack 앱 만드는 방법](#access-logs). 1. [모니터링하려는 Enterprise에 속한 Slack 작업 공간에 로그인합니다.](https://slack.com/workspace-signin) 다음 계정으로 로그인해야 합니다 * 조직의 **owner** 구성원으로서. 2. Enterprise의 모든 작업 공간이 표시된 화면에서 **Slack에서 실행** 을 모니터링하려는 작업 공간에서 클릭합니다. 3. 다음으로 이동하세요 [Slack 앱](https://api.slack.com/apps) 을 클릭한 다음 **새 앱 만들기**를 클릭한 후 **처음부터**.\ ![In the Slack admin portal, the "Create an App" popup dialog is displayed. There are two options: From scratch, and From an app manifest (beta).](/files/e0edfd11b5005c0abef87596c016c15dbf1ce010) * 다음을 입력하세요 **앱 이름** 예: `Panther 모니터링`. * 이전에 로그인한 작업 공간을 선택합니다. !["Slack 앱 만들기" 양식에는 앱 이름 필드가 표시되며, 그 안에 "Panther monitoring"이 입력되어 있습니다. "Development Slack Workspace"라는 드롭다운 메뉴가 있습니다. 페이지 하단에는 회색의 "Create App" 버튼이 있습니다.](/files/deda66a078a7152b10f233d8af5a22938984cf48) 4. 을 클릭한 다음 **앱 만들기**. * 앱은 선택한 작업 공간에 생성되며, 나중에 전체 Enterprise 조직을 모니터링할 수 있게 됩니다. 5. 왼쪽 사이드바 메뉴에서 **OAuth 및 권한**. 6. 으로 스크롤한 다음 **리디렉션 URL** 섹션의 명령을 실행합니다. 7. 을 클릭한 다음 **추가** 를 클릭하고 **리디렉션 URL** 을 이전 문서의 Panther Console에서 복사한 값을 입력합니다.\ ![In Slack, the "Oauth and Permissions" tab on the left sidebar is highlighted. There is a red arrow pointing to a header in the middle of the page labeled "Redirect URLs." There is a red circle around a Redirect URL field.](/files/cbc4fd95c9250e310276b5f6ccae2c30a84d59be) 8. 을 클릭한 다음 **URL 저장**. 9. 으로 스크롤한 다음 **사용자 토큰 범위** 섹션에서 `auditlogs:read` 범위를 추가합니다.\ ![In the Slack admin console, there is a header called "User Token Scopes." In the image, there is a red circle around a field labeled "Add permission by Scope or API Method...". The option "auditlogsread" is selected.](/files/cdbab3d095f40ae71c233a6491757ceb0f7431b0) 10. 왼쪽 사이드바에서 **설정 >** **배포 관리** 11. "**다른 작업 공간과 앱 공유**" 섹션에서 다음 옵션을 활성화합니다: * **기능 및 기능 활성화** * **OAuth 리디렉션 URL 추가** * **하드 코딩된 정보 제거** * **기능에 HTTPS 사용** 12. 을 클릭한 다음 **공개 배포 활성화**. * **참고:** 이 설정이 다른 조직이 Slack 앱에 접근할 수 있게 만드는 것은 아닙니다. Slack은 다음을 가져오기 위해 이 설정을 요구합니다 [감사 로그는](https://api.slack.com/admins/audit-logs).\ ![In the Slack admin portal, there is a section labeled "Share your App with Other Workspaces." It displays a list of steps, which all have green checkmarks next to them. At the bottom, there is a green button labeled "Activate Public Distribution."](/files/77a95fe49a1416bc97e4dba1a496e7e8937a9755) 13. 왼쪽 사이드바에서 **설정** > **기본 정보**. 14. 다음 **앱 자격 증명** 섹션에서 다음을 복사합니다 **클라이언트 ID** 및 **클라이언트 시크릿**. 15. 다음 아래의 단계를 따르세요 [Panther에서 Slack 온보딩 완료](https://docs.runpanther.io/data-onboarding/saas-logs/slack#finalize) 하여 이 과정을 완료합니다.
In the Slack admin console, the App Credentials page is open. There are fields for App ID, Date of App Creation, Client ID, Client Secret, and Signing Secret. There is a red circle around the Client ID and Client Secret fields.
### 액세스 또는 통합 로그를 가져오기 위한 Slack 앱 만드는 방법 Access Logs 및 Integration Logs API는 모든 Slack 유료 플랜에서 사용할 수 있습니다. 감사 로그를 가져오려면 이전 섹션을 참조하세요: [감사 로그를 가져오기 위한 Slack 앱 만드는 방법](#audit-logs). 1. [모니터링하려는 Enterprise에 속한 Slack 작업 공간에 로그인합니다.](https://slack.com/workspace-signin) 모니터링하려는 * 조직의 **owner** 구성원으로서. 2. 작업 공간이 표시된 화면에서 **Slack에서 실행** 을 모니터링하려는 작업 공간에서 클릭합니다. 3. 다음으로 이동하세요 [Slack 앱](https://api.slack.com/apps) 을 클릭한 다음 **새 앱 만들기**를 클릭한 후 **처음부터**.\ ![In the Slack admin portal, the "Create an App" popup dialog is displayed. There are two options: From scratch, and From an app manifest (beta).](/files/e0edfd11b5005c0abef87596c016c15dbf1ce010) * 다음을 입력하세요 **앱 이름** 예: `Panther 모니터링`. * 이전에 로그인한 작업 공간을 선택합니다. !["Slack 앱 만들기" 양식에는 앱 이름 필드가 표시되며, 그 안에 "Panther monitoring"이 입력되어 있습니다. "Development Slack Workspace"라는 드롭다운 메뉴가 있습니다. 페이지 하단에는 회색의 "Create App" 버튼이 있습니다.](/files/deda66a078a7152b10f233d8af5a22938984cf48) 4. 을 클릭한 다음 **앱 만들기**. * 앱은 선택한 작업 공간에 생성됩니다. 5. 왼쪽 사이드바 메뉴에서 **OAuth 및 권한**. 6. 으로 스크롤한 다음 **리디렉션 URL** 섹션의 명령을 실행합니다. 7. 을 클릭한 다음 **추가** 를 클릭하고 **리디렉션 URL** 을 이전 문서의 Panther Console에서 복사한 값을 입력합니다.\ ![In Slack, the "Oauth and Permissions" tab on the left sidebar is highlighted. There is a red arrow pointing to a header in the middle of the page labeled "Redirect URLs." There is a red circle around a Redirect URL field.](/files/cbc4fd95c9250e310276b5f6ccae2c30a84d59be) 8. 을 클릭한 다음 **URL 저장**. 9. 라는 제목의 섹션으로 스크롤합니다 **범위** > **사용자 토큰 범위**. 다음을 추가합니다 `admin` 범위는 Slack API 문서에 표시된 대로 [액세스](https://api.slack.com/methods/team.accessLogs) 및 [통합](https://api.slack.com/methods/team.integrationLogs) 로그. 10. 왼쪽 사이드바에서 **설정** > **기본 정보**. 11. 다음 **앱 자격 증명** 섹션에서 다음을 복사합니다 **클라이언트 ID** 및 **클라이언트 시크릿**.\ ![In the Slack admin console, the App Credentials page is open. There are fields for App ID, Date of App Creation, Client ID, Client Secret, and Signing Secret. There is a red circle around the Client ID and Client Secret fields.](/files/266e85e52f0e8dfc06d1f7c0a927c1894ec2681a) 12. 다음 아래의 단계를 따르세요 [Panther에서 Slack 온보딩 완료](https://docs.runpanther.io/data-onboarding/saas-logs/slack#finalize) 하여 이 과정을 완료합니다. ### Panther에서 Slack 온보딩 완료 1. Panther Console로 돌아갑니다. 2. "자격 증명 설정" 페이지에서 Slack의 Client ID를 Client ID 필드에 붙여넣고 Slack의 Client Secret을 **클라이언트 시크릿** 필드에 붙여넣습니다. 3. 을 클릭한 다음 **설정**. 4. 을 클릭한 다음 **소스 저장**. 5. 다음 **설정 확인** 화면에서 **액세스 허용**. * 를 클릭합니다. 앱을 설치하기 위한 Slack 페이지로 이동됩니다. * 감사 로그의 경우 반드시 **Enterprise 조직** 및 **에 설치해야 하며** 특정 작업 공간에 설치하면 안 됩니다! 6. 을 클릭한 다음 **허용.** 7. Panther Console에서 **설정**. 성공 화면으로 이동합니다:
The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"
* 선택적으로 하나 이상의 [디택션 Packs](https://docs.panther.com/detections/panther-managed/packs). * 그 **이벤트가 처리되지 않을 때 알러트 트리거** 설정의 기본값은 **예**입니다. 일정 시간 후 로그 소스에서 데이터 흐름이 중단되면 알림을 받게 되므로, 이 옵션을 활성화된 상태로 두는 것을 권장합니다. 기간은 구성 가능하며 기본값은 24시간입니다.
The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day
{% hint style="warning" %} **참고:** 다음의 경우 통합에 제한이 발생합니다: * 앱을 조직에 설치한 사용자의 계정이 비활성화된 경우 * 앱이 삭제되었거나, 액세스 토큰이 취소되었거나, 앱 자격 증명이 교체된 경우 {% endhint %} ## Panther가 구축한 탐지 Panther에 내장된 [Github의 panther-analysis에 있는 Slack 규칙](https://github.com/panther-labs/panther-analysis/tree/master/rules/slack_rules). ## 지원되는 로그 유형 ### Slack.AccessLogs Slack 작업 공간의 사용자에 대한 액세스 로그. **참고:** Slack의 속도 제한 때문에 Panther는 사용자 또는 액세스 위치 또는 액세스 기기가 새로워진 이벤트만 가져옵니다. Panther는 이벤트의 `date_last`, `count` 필드를 업데이트하지 않습니다.' 참조: [액세스 로그에 대한 Slack 문서.](https://api.slack.com/methods/team.accessLogs) ```yaml schema: Slack.AccessLogs parser: native: name: Slack.AccessLogs description: 'Slack 작업 공간의 사용자에 대한 액세스 로그. 참고: Slack의 속도 제한 때문에 Panther는 사용자 또는 액세스 위치 또는 액세스 기기가 새로워진 이벤트만 가져옵니다. Panther는 이벤트의 `date_last`, `count` 필드를 업데이트하지 않습니다.' referenceURL: https://api.slack.com/methods/team.accessLogs fields: - 이름: user_id required: true description: Slack에 액세스하는 사용자의 id입니다. type: string - 이름: username description: Slack에 액세스하는 사용자의 사용자 이름입니다. type: string indicators: - username - name: date_first required: true description: 이 사용자, IP 주소, 사용자 에이전트 조합에 대한 첫 번째 액세스 로그 항목의 Unix 타임스탬프입니다. type: timestamp timeFormat: unix - name: date_last required: true description: '이 사용자, IP 주소, 사용자 에이전트 조합에 대한 가장 최근 액세스 로그 항목의 Unix 타임스탬프입니다. 참고: Slack API에서 업데이트되더라도 Panther는 이 필드를 업데이트하지 않습니다.' type: timestamp timeFormat: unix isEventTime: true - name: count required: true description: '해당 조합에 대한 총 액세스 로그 항목 수입니다. 참고: Slack API에서 업데이트되더라도 Panther는 이 필드를 업데이트하지 않습니다.' type: bigint - name: ip required: true description: Slack에 액세스하는 데 사용된 기기의 IP 주소입니다. type: string indicators: - ip - 이름: user_agent description: 브라우저 또는 클라이언트 애플리케이션에서 보고된 사용자 에이전트 문자열입니다. type: string - 이름: isp description: IP 주소를 소유한 인터넷 서비스 제공업체에 대한 최선의 추정입니다. type: string - 이름: 국가 description: IP 주소를 기반으로 액세스가 어디에서 시작되었는지에 대한 최선의 추정입니다. type: string - 이름: region description: IP 주소를 기반으로 액세스가 어디에서 시작되었는지에 대한 최선의 추정입니다. type: string ``` ### Slack.AuditLogs Slack 감사 로그는 Enterprise 조직에서 사용자가 수행하는 작업의 보기를 제공합니다. 참조: [감사 로그에 대한 Slack 문서.](https://api.slack.com/admins/audit-logs) ```yaml schema: Slack.AuditLogs parser: native: name: Slack.AuditLogs description: Slack 감사 로그는 Enterprise 조직에서 사용자가 수행하는 작업의 보기를 제공합니다. referenceURL: https://api.slack.com/enterprise/audit-logs fields: - name: id required: true description: 이벤트 id type: string - name: date_create required: true description: 이벤트 생성 타임스탬프 type: timestamp timeFormat: unix isEventTime: true - 이름: 동작 required: true description: 수행된 작업입니다. https://api.slack.com/enterprise/audit-logs#audit_logs_actions 참조 type: string - name: actor required: true description: 행위자는 항상 작업 공간의 사용자이며 사용자 ID(예: W123AB456)로 식별됩니다. type: object fields: - name: type required: true description: 행위자의 유형(항상 user) type: string - 이름: user description: 사용자에 대한 정보 type: object fields: - name: id required: true description: 사용자의 id('USLACKUSER'는 작업을 수행한 사용자가 없는 경우) type: string - 이름: name description: 사용자의 표시 이름 type: string indicators: - username - name: email description: 사용자의 이메일 type: string indicators: - 이메일 - name: team description: 사용자의 팀 type: string - name: entity required: true description: 엔터티는 행위자가 작업을 수행한 대상이며, 대상의 Slack ID가 됩니다. type: object fields: - name: type required: true description: 작업의 영향을 받은 항목 유형(user,channel,file,app,workspace,enterprise,message,workflow) type: string - 이름: user description: 영향을 받은 사용자에 대한 정보 type: object fields: - name: id required: true description: 사용자의 id('USLACKUSER'는 작업을 수행한 사용자가 없는 경우) type: string - 이름: name description: 사용자의 표시 이름 type: string indicators: - username - name: email description: 사용자의 이메일 type: string indicators: - 이메일 - name: team description: 사용자의 팀 type: string - name: channel description: 영향을 받은 채널에 대한 정보 type: object fields: - name: id required: true description: 채널 id type: string - 이름: name description: 채널 이름 type: string - name: privacy description: 채널의 비공개 모드 type: string - name: is_shared description: 채널이 공유되는지 여부 type: boolean - name: is_org_shared description: 조직 내에서 채널이 공유되는지 여부 type: boolean - name: teams_shared_with description: 채널이 공유된 팀 type: array element: type: string - 이름: file description: 영향을 받은 파일에 대한 정보 type: object fields: - name: id required: true description: 파일 id type: string - 이름: name description: 파일 이름 type: string - name: title description: 파일 제목 type: string - name: filetype description: 파일 유형 type: string - name: app description: 영향을 받은 앱에 대한 정보 type: object fields: - name: id required: true description: 앱 id type: string - 이름: name description: 앱 이름 type: string - name: is_distributed description: 앱이 배포되는지 여부 type: boolean - name: is_directory_approved description: 앱이 승인된 앱 디렉터리에 있는지 여부 type: boolean - name: scopes description: 앱이 요구하는 OAuth2 범위 type: array element: type: string - name: workspace description: 영향을 받은 작업 공간에 대한 정보 type: object fields: - name: id required: true description: 작업 공간 id type: string - 이름: name description: 작업 공간 이름 type: string - 이름: domain description: 작업 공간 도메인 type: string - name: enterprise description: 영향을 받은 Enterprise에 대한 정보 type: object fields: - name: id required: true description: Enterprise id type: string - 이름: name description: Enterprise 이름 type: string - 이름: domain description: Enterprise 도메인 type: string - name: workflow description: 영향을 받은 워크플로에 대한 정보 type: object fields: - name: id required: true description: 워크플로 id type: string - 이름: name description: 워크플로 이름 type: string - name: message description: 영향을 받은 메시지에 대한 정보 type: object fields: - name: team description: 메시지가 게시된 팀 type: string - name: channel description: 메시지가 게시된 채널 type: string - name: timestamp description: 메시지의 타임스탬프 type: string - name: context required: true description: Context는 행위자가 엔터티에 작업을 수행한 위치입니다. 항상 작업 공간 또는 Enterprise이며, 적절한 ID를 포함합니다. type: object fields: - 이름: ua description: 작업에 사용된 사용자 에이전트 type: string - 이름: ip_address description: 작업이 수행된 IP 주소 type: string indicators: - ip - name: location description: 행위자가 엔터티에 작업을 수행한 위치. type: object fields: - name: type required: true description: 위치 유형. 항상 작업 공간 또는 Enterprise 중 하나입니다 type: string - name: id required: true description: 위치 id type: string - 이름: domain description: 위치 도메인 type: string - 이름: name description: 위치 이름 type: string - 이름: details description: 감사 로그 이벤트에 대한 추가 세부정보 type: json ``` ### Slack.IntegrationLogs 통합이 추가, 수정, 제거될 때를 포함한 팀의 통합 활동 로그. 참조: [통합 로그에 대한 Slack 문서.](https://api.slack.com/methods/team.integrationLogs) ```yaml schema: Slack.IntegrationLogs parser: native: name: Slack.IntegrationLogs description: 통합이 추가, 수정 및 제거될 때를 포함한 팀의 통합 활동 로그. referenceURL: https://api.slack.com/methods/team.integrationLogs fields: - 이름: user_id required: true description: 작업을 수행하는 사용자의 id입니다. type: string - name: user_name description: 작업을 수행하는 사용자의 사용자 이름입니다. type: string indicators: - username - name: service_id description: 이 로그가 관한 서비스 id입니다. type: string - name: service_type description: 이 로그가 관한 서비스 유형입니다. type: string - name: app_id description: 이 로그가 관한 앱 id입니다. type: string - name: app_type description: 이 로그가 관한 앱 유형입니다. type: string - name: date required: true description: 작업이 발생한 날짜입니다. type: timestamp timeFormat: unix isEventTime: true - name: change_type required: true description: 이 작업의 유형(added, removed, enabled, disabled, updated)입니다. type: string - name: scope description: 이 작업에 사용된 범위입니다. type: string - name: channel description: 관련 채널. type: string - 이름: reason description: 비활성화 작업의 사유이며, 이 이벤트가 해당 작업을 참조하는 경우 채워집니다. type: string - name: rss_feed description: 이 로그 항목이 RSS 피드인 경우 true입니다. true이면 RSS 피드 관련 추가 필드가 표시됩니다. type: boolean - name: rss_feed_change_type description: RSS 피드의 변경 유형입니다. type: string - name: rss_feed_title description: RSS 피드의 제목입니다. type: string - name: rss_feed_url description: RSS 피드의 URL입니다. type: string ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/slack.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.