SOCRadar 로그

Panther는 웹후크를 통해 SOCRadar 위협 인텔리전스 수집을 지원합니다

개요

Panther는 다음을 수집할 수 있습니다 SOCRadar HTTP 웹훅을 통해 실시간으로 보안 사고를. SOCRadar는 딥 & 다크 웹 모니터링, 디지털 리스크 보호, 공격 표면 관리 및 위협 인텔리전스를 포함한 사이버 위협에 대한 포괄적인 가시성을 제공하는 확장형 위협 인텔리전스 플랫폼입니다.

SOCRadar 로그를 Panther에 온보딩하는 방법

단계 1: Panther에서 새 SOCRadar 소스를 생성합니다

Panther 콘솔의 왼쪽 탐색 표시줄에서 구성 > 로그 소스.
클릭 새로 만들기.
"SOCRadar"를 검색한 다음 해당 타일을 클릭합니다.
오른쪽 상단에서 클릭 설정 시작.
에서 기본 정보 섹션에서 다음 필드를 작성하십시오:
- 이름: 소스에 대한 설명 이름을 입력하십시오.
- 스키마 - 선택 사항: 다음으로 미리 채워져야 합니다 SOCRadar.Incidents.
선호하는 인증 방법을 선택하십시오.
- 기본: 사용자 이름 및 암호 값을 입력하십시오.
  - 암호 값은 안전하게 보관하십시오. Panther 콘솔에서는 표시되지 않습니다.
- 베어러: 베어러 토큰을 입력하십시오. 입력 값에 "Bearer"를 포함하지 마십시오.
  - 베어러 토큰 값은 안전하게 보관하십시오. Panther 콘솔에서는 표시되지 않습니다.
클릭 설정.
확인 화면으로 이동합니다. 다음 단계에서 SOCRadar를 구성하는 동안 이 화면을 열어 두십시오.
- 다음을 기록해 두십시오 HTTP 소스 URL. 다음 단계에서 이 값들이 필요합니다.

단계 2: SOCRadar에서 웹훅 구성

지침은 SOCRadar 플랜에 따라 다를 수 있습니다.

다음에 로그인하십시오 SOCRadar 플랫폼.
으로 이동 설정 > 통합 또는 알림.
웹훅 또는 HTTP 알림 옵션을 선택하십시오.
다음 세부정보로 새 웹훅 통합을 생성하십시오:
- 웹훅 URL: 1단계에서 URL을 붙여넣으십시오.
- 인증: 선택한 방법(기본 또는 베어러 토큰)에 따라 구성하십시오.
- 이벤트 유형: Panther로 전송하려는 사고 유형을 선택하십시오.
웹훅 구성을 저장하십시오.
가능한 경우 SOCRadar의 테스트 기능을 사용하여 웹훅 연결을 테스트하십시오.

SOCRadar의 내장 테스트 기능을 사용하여 테스트 이벤트를 보낼 경우 Panther에서 분류에 실패합니다. 이는 SOCRadar가 일반 SOCRadar 사고 이벤트의 구조와 일치하지 않는 테스트 이벤트를 전송하기 때문에 예상되는 동작입니다. SOCRadar의 실제 사고는 올바르게 분류됩니다.

지원되는 로그 유형

SOCRadar.Incidents

SOCRadar 보안 사고는 다크 웹 발견, 자격 증명 인텔리전스, 피싱 탐지, 공격 표면 모니터링 및 규정 준수 추적을 포함한 다양한 위협에 대한 가시성을 제공합니다.

참조: SOCRadar 사고 대응 문서

스키마: SOCRadar.Incidents
설명: |
    다크 웹 발견, 자격 증명 인텔리전스 등 SOCRadar 보안 사고,
    피싱 탐지 및 위협 알림.
참조URL: https://socradar.io/incident-response/
필드:
    - name: alarm_id
      required: true
      description: 보안 사고 또는 알람의 고유 식별자
      type: string
    - name: alarm_asset
      description: 주요 영향을 받은 자산 또는 엔터티 이름
      type: string
    - name: alarm_assignees
      description: 이 사고에 할당된 사용자 또는 팀 목록
      type: array
      element:
        type: string
    - name: alarm_related_assets
      description: 이 사고와 관련된 추가 자산
      type: array
      element:
        type: string
    - name: alarm_related_entities
      description: 사고와 관련된 엔터티 또는 IOC
      type: array
      element:
        type: object
        필드:
          - name: key
            description: 엔터티 유형(예: 도메인, ip, 이메일)
            type: string
          - name: value
            description: 엔터티 값
            type: string
            지표:
              - domain
              - ip
              - email
              - url
              - hostname
    - name: alarm_risk_level
      required: true
      description: 사고의 위험 심각도 수준
      type: string
    - name: alarm_text
      required: true
      description: 보안 사고에 대한 자세한 설명 및 맥락
      type: string
    - name: alarm_response
      description: 권장 대응 조치 및 수정 단계
      type: string
    - name: alarm_type_details
      description: 상세한 알람 분류 및 규정 준수 정보
      type: object
      필드:
        - name: alarm_compliance_list
          description: 관련 규정 준수 프레임워크 및 통제 목록
          type: array
          element:
            type: json
        - name: alarm_default_mitigation_plan
          description: 이 알람 유형에 대한 기본 완화 단계
          type: string
        - name: alarm_default_risk_level
          description: 이 알람 카테고리에 대한 기본 위험 수준
          type: string
        - name: alarm_detection_and_analysis
          description: 탐지 방법론 및 분석 가이드
          type: string
        - name: alarm_generic_title
          description: 알람의 일반 제목/카테고리
          type: string
        - name: alarm_main_type
          description: 사고의 주요 카테고리
          type: string
        - name: alarm_sub_type
          description: 하위 카테고리 분류
          type: string
        - name: alarm_post_incident_analysis
          description: 사고 후 분석 가이드
          type: string
    - name: approved_by
      description: 사고를 승인한 사용자 또는 시스템
      type: string
    - name: content
      description: 사고 유형에 따라 달라지는 기술적 세부사항
      type: object
      필드:
        - name: content_preview
          description: 감지된 콘텐츠의 미리보기 또는 발췌
          type: string
        - name: source
          description: 콘텐츠가 발견된 플랫폼 또는 시스템
          type: string
        - name: matched_asset
          description: 탐지 기준과 일치한 자산
          type: array
          element:
            type: string
        - name: compromised_domains
          description: 손상되었거나 언급된 도메인 이름
          type: string
          지표:
            - domain
        - name: compromised_emails
          description: 손상되었거나 노출된 이메일 주소
          type: string
          지표:
            - email
        - name: compromised_ips
          description: 손상되었거나 악의적인 IP 주소
          type: string
          지표:
            - ip
        - name: credential_details
          description: 손상된 자격 증명의 세부 정보
          type: array
          element:
            type: json
        - name: phishing_domain
          description: 감지된 피싱 또는 사칭 도메인
          type: string
          지표:
            - domain
        - name: phishing_keyword
          description: 피싱 도메인 감지에 사용된 키워드
          type: string
        - name: content_link
          description: 원본 콘텐츠로의 URL 링크
          type: string
          지표:
            - url
        - name: dns_information
          description: 도메인의 DNS 레코드 정보
          type: object
          필드:
            - name: a_record
              description: A 레코드 IP 주소
              type: string
              지표:
                - ip
            - name: mx_record
              description: MX 레코드 값
              type: string
            - name: ns_record
              description: NS 레코드 값
              type: string
        - name: ip_address
          description: 사고와 관련된 IP 주소
          type: string
          지표:
            - ip
        - name: ssl_information
          description: SSL 인증서 정보
          type: object
          필드:
            - name: not_after
              description: SSL 인증서 만료일
              type: timestamp
            - name: not_before
              description: SSL 인증서 시작일
              type: timestamp
        - name: website_information
          description: 웹사이트 상태 및 스크린샷 정보
          type: object
          필드:
            - name: screenshot
              description: 웹사이트의 스크린샷 URL
              type: string
            - name: website_status
              description: 웹사이트의 현재 상태(활성, 수동 등)
              type: string
        - name: whois_information
          description: WHOIS 등록 정보
          type: object
          필드:
            - name: address
              description: 등록자 주소
              type: string
            - name: creation_date
              description: 도메인 생성일
              type: timestamp
            - name: expiration_date
              description: 도메인 만료일
              type: timestamp
            - name: registrant
              description: 도메인 등록자 이름
              type: string
            - name: registrar
              description: 도메인 등록 기관
              type: string
        - name: malware_family
          description: 식별된 악성코드 계열
          type: string
        - name: username
          description: 사고와 관련된 사용자 이름
          type: string
          지표:
            - username
        - name: matched_query
          description: 이 콘텐츠와 일치한 검색 쿼리
          type: string
        - name: tags
          description: 콘텐츠와 연관된 태그
          type: array
          element:
            type: string
    - name: date
      required: true
      description: 사고가 생성된 타임스탬프
      type: timestamp
      isEventTime: true
    - name: extra
      description: 추가 메타데이터 또는 사용자 지정 필드
      type: array
      element:
        type: json
    - name: history
      description: 사고에 대한 변경 이력 및 감사 추적
      type: array
      element:
        type: object
        필드:
          - name: action_taken_by
            description: 조치를 수행한 사용자
            type: string
          - name: action_type
            description: 수행된 조치의 유형
            type: string
          - name: date
            description: 조치의 타임스탬프
            type: timestamp
          - name: description
            description: 조치에 대한 설명
            type: string
    - name: is_approved
      description: 사고가 승인되었는지 여부
      type: boolean
    - name: last_notification_date
      description: 마지막으로 전송된 알림의 타임스탬프
      type: timestamp
    - name: notes
      description: 사고에 대한 추가 메모 또는 코멘트
      type: array
      element:
        type: json
    - name: notification_id
      description: 연관된 알림 식별자
      type: string
    - name: status
      required: true
      description: 사고의 현재 상태(OPEN, CLOSED, ON_HOLD)
      type: string
    - name: tags
      description: 사고의 분류 태그
      type: array
      element:
        type: string

이전Snyk 로그 다음Sophos 로그

마지막 업데이트 5시간 전

도움이 되었나요?

hashtag개요

hashtagSOCRadar 로그를 Panther에 온보딩하는 방법

hashtag단계 1: Panther에서 새 SOCRadar 소스를 생성합니다

hashtag단계 2: SOCRadar에서 웹훅 구성

hashtag지원되는 로그 유형

hashtagSOCRadar.Incidents

개요

SOCRadar 로그를 Panther에 온보딩하는 방법

단계 1: Panther에서 새 SOCRadar 소스를 생성합니다

단계 2: SOCRadar에서 웹훅 구성

지원되는 로그 유형

SOCRadar.Incidents