# SOCRadar 로그 ## 개요 Panther는 다음을 수집할 수 있는 기능을 갖추고 있습니다 [SOCRadar](https://socradar.io/) 보안 인시던트를 HTTP 웹훅을 통해 실시간으로 처리합니다. SOCRadar는 Deep & Dark Web 모니터링, 디지털 리스크 보호, 공격 표면 관리 및 위협 인텔리전스를 포함한 사이버 위협에 대한 포괄적인 가시성을 제공하는 확장형 위협 인텔리전스 플랫폼입니다. ## SOCRadar 로그를 Panther에 온보딩하는 방법 ### 1단계: Panther에서 새 SOCRadar 소스 생성 1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요. **구성** > **로그 소스**. 2. 다음을 클릭하세요. **새로 만들기.** 3. "SOCRadar"를 검색한 다음 해당 타일을 클릭합니다. 4. 오른쪽 상단에서 다음을 클릭하세요. **설정 시작**. 5. 다음에서 **기본 정보** 섹션에서 다음 필드를 입력합니다: * **이름**: 소스에 대한 설명이 포함된 이름을 입력합니다. * **스키마 - 선택 사항**: 다음 값으로 미리 채워져 있어야 합니다 `SOCRadar.Incidents`. 6. 원하는 인증 방법을 선택합니다. * **기본**: Username 및 Password 값을 입력합니다. * Password 값을 안전하게 보관해야 합니다. 이 값은 Panther Console에서 표시되지 않습니다. * **Bearer**: Bearer Token을 입력합니다. 입력하는 값에는 "Bearer"를 포함하지 마십시오. * Bearer Token 값을 안전하게 보관해야 합니다. 이 값은 Panther Console에서 표시되지 않습니다. 7. 다음을 클릭하세요. **설정**. 8. 검증 화면으로 이동됩니다. 다음 단계에서 SOCRadar를 구성하는 동안 이 화면을 열어 두십시오. * 다음 값을 기록해 두십시오 **HTTP 소스 URL**. 다음 단계에서 이 값들이 필요합니다. ### 2단계: SOCRadar에서 웹훅 구성 {% hint style="info" %} 지침은 SOCRadar 요금제에 따라 다를 수 있습니다. {% endhint %} 1. 다음에 로그인합니다 [SOCRadar 플랫폼](https://platform.socradar.com/). 2. 다음으로 이동합니다 **설정** > **통합** 또는 **알림**. 3. 웹훅 또는 HTTP 알림 옵션을 선택합니다. 4. 다음 세부 정보로 새 웹훅 통합을 생성합니다: * **웹훅 URL**: 1단계의 URL을 붙여넣습니다. * **인증**: 선택한 방법(Basic 또는 Bearer token)에 따라 구성합니다. * **이벤트 유형**: Panther로 전송할 인시던트 유형을 선택합니다. 5. 웹훅 구성을 저장합니다. 6. 가능한 경우 SOCRadar의 테스트 기능을 사용하여 웹훅 연결을 테스트합니다. {% hint style="warning" %} SOCRadar의 내장 테스트 기능을 사용하여 테스트 이벤트를 전송하면 Panther에서 분류에 실패합니다. 이는 예상된 동작입니다. SOCRadar가 일반적인 SOCRadar 인시던트 이벤트의 구조와 일치하지 않는 테스트 이벤트를 전송하기 때문입니다. SOCRadar의 실제 인시던트는 올바르게 분류됩니다. {% endhint %} ## 지원되는 로그 유형 ### SOCRadar.Incidents SOCRadar 보안 인시던트는 다크 웹 발견 사항, 자격 증명 인텔리전스, 피싱 디택션, 공격 표면 모니터링 및 규정 준수 추적을 포함한 다양한 위협에 대한 가시성을 제공합니다. 참조: [SOCRadar 인시던트 대응 문서](https://socradar.io/incident-response/) ```yaml schema: SOCRadar.Incidents description: | 다크 웹 발견 사항, 자격 증명 인텔리전스를 포함한 SOCRadar 보안 인시던트, 피싱 디택션 및 위협 경고. referenceURL: https://socradar.io/incident-response/ fields: - name: alarm_id required: true description: 보안 인시던트 또는 알람의 고유 식별자 type: string - name: alarm_asset description: 주로 영향을 받은 자산 또는 엔터티 이름 type: string - name: alarm_assignees description: 이 인시던트에 할당된 사용자 또는 팀 목록 type: array element: type: string - name: alarm_related_assets description: 이 인시던트와 관련된 추가 자산 type: array element: type: string - name: alarm_related_entities description: 인시던트와 연관된 관련 엔터티 또는 IOC type: array element: type: object fields: - name: key description: 엔터티 유형(예: domain, ip, email) type: string - name: value description: 엔터티 값 type: string indicators: - domain - ip - email - url - hostname - name: alarm_risk_level required: true description: 인시던트의 위험 심각도 수준 type: string - name: alarm_text required: true description: 보안 인시던트에 대한 상세 설명 및 컨텍스트 type: string - name: alarm_response description: 권장 대응 조치 및 수정 단계 type: string - name: alarm_type_details description: 상세 알람 분류 및 규정 준수 정보 type: object fields: - name: alarm_compliance_list description: 관련 규정 준수 프레임워크 및 통제 목록 type: array element: type: json - name: alarm_default_mitigation_plan description: 이 알람 유형의 기본 완화 단계 type: string - name: alarm_default_risk_level description: 이 알람 범주의 기본 위험 수준 type: string - name: alarm_디택션_and_analysis description: 디택션 방법론 및 분석 가이드 type: string - name: alarm_generic_title description: 알람의 일반 제목/범주 type: string - name: alarm_main_type description: 인시던트의 기본 범주 type: string - name: alarm_sub_type description: 하위 범주 분류 type: string - name: alarm_post_incident_analysis description: 인시던트 후 분석 가이드 type: string - name: approved_by description: 인시던트를 승인한 사용자 또는 시스템 type: string - name: content description: 인시던트 유형에 따라 달라지는 기술 세부 정보 type: object fields: - name: content_preview description: 디택션된 콘텐츠의 미리보기 또는 발췌 type: string - name: source description: 콘텐츠가 발견된 소스 플랫폼 또는 시스템 type: string - name: matched_asset description: 디택션 기준과 일치한 자산 type: array element: type: string - name: compromised_domains description: 침해되었거나 언급된 도메인 이름 type: string indicators: - domain - name: compromised_emails description: 침해되었거나 노출된 이메일 주소 type: string indicators: - email - name: compromised_ips description: 침해되었거나 악성인 IP 주소 type: string indicators: - ip - name: credential_details description: 침해된 자격 증명의 세부 정보 type: array element: type: json - name: phishing_domain description: 디택션된 피싱 또는 사칭 도메인 type: string indicators: - domain - name: phishing_keyword description: 피싱 도메인을 디택션하는 데 사용된 키워드 type: string - name: content_link description: 소스 콘텐츠에 대한 URL 링크 type: string indicators: - url - name: dns_information description: 도메인의 DNS 레코드 정보 type: object fields: - name: a_record description: A 레코드 IP 주소 type: string indicators: - ip - name: mx_record description: MX 레코드 값 type: string - name: ns_record description: NS 레코드 값 type: string - name: ip_address description: 인시던트와 연관된 IP 주소 type: string indicators: - ip - name: ssl_information description: SSL 인증서 정보 type: object fields: - name: not_after description: SSL 인증서 만료일 type: timestamp - name: not_before description: SSL 인증서 시작일 type: timestamp - name: website_information description: 웹사이트 상태 및 스크린샷 정보 type: object fields: - name: screenshot description: 웹사이트의 스크린샷 URL type: string - name: website_status description: 웹사이트의 현재 상태(Active, Passive 등) type: string - name: whois_information description: WHOIS 등록 정보 type: object fields: - name: address description: 등록자 주소 type: string - name: creation_date description: 도메인 생성일 type: timestamp - name: expiration_date description: 도메인 만료일 type: timestamp - name: registrant description: 도메인 등록자 이름 type: string - name: registrar description: 도메인 등록기관 type: string - name: malware_family description: 식별된 멀웨어 계열 type: string - name: username description: 인시던트와 연관된 사용자 이름 type: string indicators: - username - name: matched_query description: 이 콘텐츠와 일치한 검색 쿼리 type: string - name: tags description: 콘텐츠와 연관된 태그 type: array element: type: string - name: date required: true description: 인시던트가 생성된 타임스탬프 type: timestamp isEventTime: true - name: extra description: 추가 메타데이터 또는 사용자 지정 필드 type: array element: type: json - name: history description: 인시던트의 변경 이력 및 감사 추적 type: array element: type: object fields: - name: action_taken_by description: 작업을 수행한 사용자 type: string - name: action_type description: 수행된 작업 유형 type: string - name: date description: 작업의 타임스탬프 type: timestamp - name: description description: 작업에 대한 설명 type: string - name: is_approved description: 인시던트가 승인되었는지 여부 type: boolean - name: last_notification_date description: 마지막으로 전송된 알림의 타임스탬프 type: timestamp - name: notes description: 인시던트에 대한 추가 메모 또는 의견 type: array element: type: json - name: notification_id description: 연관된 알림 식별자 type: string - name: status required: true description: 인시던트의 현재 상태(OPEN, CLOSED, ON_HOLD) type: string - name: tags description: 인시던트에 대한 분류 태그 type: array element: type: string ```