> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/socradar.md). # SOCRadar 로그 ## 개요 Panther는 다음을 수집하는 기능이 있습니다 [SOCRadar](https://socradar.io/) HTTP 웹훅을 통해 보안 인시던트를 실시간으로 수집합니다. SOCRadar는 딥 및 다크 웹 모니터링, 디지털 리스크 보호, 공격 표면 관리, 위협 인텔리전스를 포함한 사이버 위협에 대한 포괄적인 가시성을 제공하는 확장형 위협 인텔리전스 플랫폼입니다. ## SOCRadar 로그를 Panther에 온보딩하는 방법 ### 1단계: Panther에서 새 SOCRadar 소스 만들기 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**. 2. 다음을 클릭합니다: **새로 만들기.** 3. "SOCRadar"를 검색한 다음 해당 타일을 클릭합니다. 4. 오른쪽 상단에서 다음을 클릭합니다: **설정 시작**. 5. 다음의 **기본 정보** sectionm에서 다음 필드를 입력하세요: * **이름**: 소스에 대한 설명이 포함된 이름을 입력합니다. * **스키마 - 선택 사항**: 다음 값으로 미리 채워져 있어야 합니다 `SOCRadar.Incidents`. 6. 선호하는 인증 방법을 선택합니다. * **기본**: 사용자 이름과 비밀번호 값을 입력합니다. * 비밀번호 값은 반드시 안전하게 보관하세요. Panther Console에서는 표시되지 않습니다. * **Bearer**: Bearer 토큰을 입력합니다. 입력하는 값에는 "Bearer"를 포함하지 마세요. * Bearer 토큰 값은 반드시 안전하게 보관하세요. Panther Console에서는 표시되지 않습니다. 7. 다음을 클릭합니다: **설정**. 8. 검증 화면으로 이동합니다. 다음 단계에서 SOCRadar를 구성하는 동안 이 화면을 열어 두세요. * 다음 값을 기록해 두세요 **HTTP 소스 URL**. 다음 단계에서 이 값들이 필요합니다. ### 2단계: SOCRadar에서 웹훅 구성 {% hint style="info" %} 지침은 SOCRadar 요금제에 따라 달라질 수 있습니다. {% endhint %} 1. 다음에 로그인합니다 [SOCRadar 플랫폼](https://platform.socradar.com/). 2. 다음으로 이동: **설정** > **통합** 또는 **알림**. 3. 웹훅 또는 HTTP 알림 옵션을 선택합니다. 4. 다음 세부 정보로 새 웹훅 통합을 생성합니다: * **Webhook URL**: 1단계의 URL을 붙여넣습니다. * **인증**: 선택한 방법(Basic 또는 Bearer token)에 따라 구성합니다. * **이벤트 유형**: Panther로 보내려는 인시던트 유형을 선택합니다. 5. 웹훅 구성을 저장합니다. 6. 가능한 경우 SOCRadar의 테스트 기능을 사용하여 웹훅 연결을 테스트합니다. {% hint style="warning" %} SOCRadar의 내장 테스트 기능을 사용해 테스트 이벤트를 보내면 Panther에서 분류에 실패합니다. 이는 SOCRadar가 일반적인 SOCRadar 인시던트 이벤트 구조와 일치하지 않는 테스트 이벤트를 보내기 때문에 예상된 동작입니다. SOCRadar의 실제 인시던트는 올바르게 분류됩니다. {% endhint %} ## 지원되는 로그 유형 ### SOCRadar.Incidents SOCRadar 보안 인시던트는 다크 웹 발견 사항, 자격 증명 인텔리전스, 피싱 디택션, 공격 표면 모니터링, 컴플라이언스 추적을 포함한 다양한 위협에 대한 가시성을 제공합니다. 참조: [SOCRadar 인시던트 대응 문서](https://socradar.io/incident-response/) ```yaml 스키마: SOCRadar.Incidents 설명: | 다크 웹 발견 사항, 자격 증명 인텔리전스를 포함한 SOCRadar 보안 인시던트, 피싱 디택션 및 위협 알림. 참조URL: https://socradar.io/incident-response/ fields: - 이름: alarm_id required: true 설명: 보안 인시던트 또는 알람의 고유 식별자 type: string - 이름: alarm_asset 설명: 기본 영향을 받은 자산 또는 엔터티 이름 type: string - 이름: alarm_assignees 설명: 이 인시던트에 할당된 사용자 또는 팀 목록 type: array element: type: string - 이름: alarm_related_assets 설명: 이 인시던트와 관련된 추가 자산 type: array element: type: string - 이름: alarm_related_entities 설명: 인시던트와 연관된 관련 엔터티 또는 IOC type: array element: type: object fields: - 이름: key 설명: 엔터티 유형(예: domain, ip, email) type: string - 이름: value 설명: 엔터티 값 type: string 표시자: - domain - ip - 이메일 - url - 호스트 이름 - 이름: alarm_risk_level required: true 설명: 인시던트의 위험 심각도 수준 type: string - 이름: alarm_text required: true 설명: 보안 인시던트의 상세 설명 및 컨텍스트 type: string - 이름: alarm_response 설명: 권장 대응 조치 및 수정 단계 type: string - 이름: alarm_type_details 설명: 상세 알람 분류 및 컴플라이언스 정보 type: object fields: - 이름: alarm_compliance_list 설명: 관련 컴플라이언스 프레임워크 및 통제 목록 type: array element: 유형: json - 이름: alarm_default_mitigation_plan 설명: 이 알람 유형의 기본 완화 단계 type: string - 이름: alarm_default_risk_level 설명: 이 알람 범주의 기본 위험 수준 type: string - 이름: alarm_디택션_and_analysis 설명: 디택션 방법론 및 분석 지침 type: string - 이름: alarm_generic_title 설명: 알람의 일반 제목/범주 type: string - 이름: alarm_main_type 설명: 인시던트의 주요 범주 type: string - 이름: alarm_sub_type 설명: 하위 범주 분류 type: string - 이름: alarm_post_incident_analysis 설명: 인시던트 후 분석 지침 type: string - 이름: approved_by 설명: 인시던트를 승인한 사용자 또는 시스템 type: string - 이름: content 설명: 인시던트 유형에 따라 달라지는 기술 세부 정보 type: object fields: - 이름: content_preview 설명: 탐지된 콘텐츠의 미리보기 또는 발췌문 type: string - 이름: source 설명: 콘텐츠가 발견된 소스 플랫폼 또는 시스템 type: string - 이름: matched_asset 설명: 디택션 기준과 일치한 자산 type: array element: type: string - 이름: compromised_domains 설명: 침해되었거나 언급된 도메인 이름 type: string 표시자: - domain - 이름: compromised_emails 설명: 침해되었거나 노출된 이메일 주소 type: string 표시자: - 이메일 - 이름: compromised_ips 설명: 침해되었거나 악성인 IP 주소 type: string 표시자: - ip - 이름: credential_details 설명: 침해된 자격 증명의 세부 정보 type: array element: 유형: json - 이름: phishing_domain 설명: 탐지된 피싱 또는 사칭 도메인 type: string 표시자: - domain - 이름: phishing_keyword 설명: 피싱 도메인을 탐지하는 데 사용된 키워드 type: string - 이름: content_link 설명: 소스 콘텐츠로 연결되는 URL 링크 type: string 표시자: - url - 이름: dns_information 설명: 도메인의 DNS 레코드 정보 type: object fields: - 이름: a_record 설명: A 레코드 IP 주소 type: string 표시자: - ip - 이름: mx_record 설명: MX 레코드 값 type: string - 이름: ns_record 설명: NS 레코드 값 type: string - 이름: ip_address 설명: 인시던트와 연관된 IP 주소 type: string 표시자: - ip - 이름: ssl_information 설명: SSL 인증서 정보 type: object fields: - 이름: not_after 설명: SSL 인증서 만료일 type: timestamp - 이름: not_before 설명: SSL 인증서 시작일 type: timestamp - 이름: website_information 설명: 웹사이트 상태 및 스크린샷 정보 type: object fields: - 이름: screenshot 설명: 웹사이트의 스크린샷 URL type: string - 이름: website_status 설명: 웹사이트의 현재 상태(Active, Passive 등) type: string - 이름: whois_information 설명: WHOIS 등록 정보 type: object fields: - name: address 설명: 등록자 주소 type: string - 이름: creation_date 설명: 도메인 생성일 type: timestamp - 이름: expiration_date 설명: 도메인 만료일 type: timestamp - 이름: registrant 설명: 도메인 등록자 이름 type: string - 이름: registrar 설명: 도메인 등록 대행자 type: string - 이름: malware_family 설명: 식별된 악성코드 패밀리 type: string - 이름: username 설명: 인시던트와 연관된 사용자 이름 type: string 표시자: - 사용자명 - 이름: matched_query 설명: 이 콘텐츠와 일치한 검색 쿼리 type: string - name: tags 설명: 콘텐츠와 연관된 태그 type: array element: type: string - name: date required: true 설명: 인시던트가 생성된 시점의 타임스탬프 type: timestamp isEventTime: true - 이름: extra 설명: 추가 메타데이터 또는 사용자 지정 필드 type: array element: 유형: json - 이름: history 설명: 인시던트의 변경 이력 및 감사 추적 type: array element: type: object fields: - 이름: action_taken_by 설명: 작업을 수행한 사용자 type: string - 이름: action_type 설명: 수행된 작업 유형 type: string - name: date 설명: 작업의 타임스탬프 type: timestamp - 이름: description 설명: 작업 설명 type: string - 이름: is_approved 설명: 인시던트가 승인되었는지 여부 유형: boolean - 이름: last_notification_date 설명: 마지막 알림이 전송된 시점의 타임스탬프 type: timestamp - 이름: notes 설명: 인시던트에 대한 추가 메모 또는 의견 type: array element: 유형: json - 이름: notification_id 설명: 연관된 알림 식별자 type: string - 이름: status required: true 설명: 인시던트의 현재 상태(OPEN, CLOSED, ON_HOLD) type: string - name: tags 설명: 인시던트에 대한 분류 태그 type: array element: type: string ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/socradar.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.