# Sublime Security 로그 ## 개요 Panther는 수집을 지원합니다 [Sublime Security](https://sublime.security/) 감사 로그, 룰 일치가 있는 메시지(메시지 이벤트라고도 함), 그리고 Message Data Model(MDM) 형식의 모든 메시지를 AWS S3를 통해 Panther로 가져오는 것을 지원합니다. ## Sublime Security 로그를 Panther에 온보딩하는 방법 ### 1단계: Panther에 Sublime Security 로그 소스 만들기 1. 왼쪽 탐색 모음에서 Panther Console의 **구성** > **로그 소스**. 2. 을 클릭합니다 **새로 만들기**. 3. "Sublime Security"를 검색한 다음 해당 타일을 클릭합니다. 4. 슬라이드아웃 패널의 오른쪽 상단에서 **설정 시작**.\ ![A page titled "Sublime Security" is shown. An arrow is drawn to the upper-right corner, to a button labeled "Start Setup."](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-4e47bf9af5c3cdcfcd5cd0ce0d0944d497c1f977%2FScreenshot%202024-08-22%20at%204.19.46%20PM.png?alt=media) 5. 다음을 따르세요 [S3 Source를 구성하는 방법에 대한 Panther의 문서](https://docs.panther.com/ko/data-onboarding/data-transports/aws/s3). ### 2단계: Sublime Security 로그를 S3로 내보내기 * Sublime 문서의 지침에 따라 로그를 S3 버킷으로 내보내는 방법을 따르세요: * [메시지 MDM 내보내기](https://docs.sublime.security/docs/export-message-mdms) * [감사 로그 및 메시지 이벤트 내보내기](https://docs.sublime.security/docs/export-audit-logs-and-message-events) * 다음을 구성할 때 **감사 로그 및 메시지 이벤트 내보내기** 설정에서 다음 항목을 체크하지 않았는지 확인하세요. **JSON Lines 텍스트 형식 사용** 확인란. * Panther는 로그가 다음에 표시된 형식이기를 अपे합니다. [감사 로그 예시](https://docs.sublime.security/docs/export-audit-logs-and-message-events#example-audit-logs) 섹션: ```json { "events": ..., "count": 0, "start": "2023-05-03T23:55:01.06552Z", "end": "2023-05-04T00:05:00.309749667Z", "key": "sublime_platform_audit_log/2023/05/04/000500Z-LPPJKV.json" } ``` ## Panther가 관리하는 탐지 다음을 참조하세요 [Panther가 관리하는](https://docs.panther.com/ko/detections/panther-managed) Sublime Security용 룰을 [panther-analysis GitHub 저장소에서](https://github.com/panther-labs/panther-analysis/tree/main/rules/sublime_rules). ## 지원되는 로그 유형 ### Sublime.Audit ```yaml # Panther가 생성한 코드입니다; 편집하지 마세요. (@generated) schema: Sublime.Audit description: Sublime의 감사 로그 referenceURL: https://docs.sublimesecurity.com/docs/export-audit-logs-and-message-events#example-audit-logs fields: - name: created_at required: true description: 감사 로그가 생성된 시간입니다. type: timestamp timeFormats: - rfc3339 isEventTime: true - name: created_by required: true description: 감사 로그를 생성한 사용자입니다. type: object fields: - name: active description: 사용자가 현재 활성 상태인지 여부입니다. type: boolean - name: created_at description: 사용자가 생성된 시점입니다. type: timestamp timeFormats: - rfc3339 - name: email_address description: 사용자의 이메일 주소입니다. type: string indicators: - email - name: first_name description: 사용자의 이름.' type: string - name: google_oauth_user_id description: 사용자의 Google OAuth 사용자 ID입니다. type: float - name: id description: 사용자의 고유한 Sublime ID입니다. type: string - name: is_enrolled description: 사용자가 등록되었는지 여부입니다. type: boolean - name: last_name description: 사용자의 성입니다.' type: string - name: microsoft_oauth_user_id description: 사용자의 Microsoft OAuth 사용자 ID입니다. type: string - name: role description: 사용자에게 할당된 역할입니다. type: string - name: updated_at description: 사용자가 마지막으로 업데이트된 시점입니다. type: timestamp timeFormats: - rfc3339 indicators: - email - name: data required: true description: 발생한 활동의 세부 정보입니다. type: object fields: - name: message description: 고유한 메시지 ID입니다. type: object fields: - name: external_id description: 외부 ID입니다. type: string - name: id description: 고유한 메시지 ID입니다. type: string - name: message_group description: 메시지 그룹의 SHA256 해시입니다. type: object fields: - name: id description: 메시지 그룹의 SHA256 해시입니다. type: string indicators: - sha256 - name: request required: true description: 요청에 대한 구체적인 세부 정보입니다. type: object fields: - name: query description: 수행되는 쿼리의 매개변수입니다. type: object fields: - name: attachment_md5 description: 첨부 파일의 MD5 해시를 지정합니다. type: string - name: attachment_sha1 description: 첨부 파일의 SHA1 해시를 지정합니다. type: string - name: attachment_sha256 description: 첨부 파일의 SHA256 해시를 지정합니다. type: string - name: created_at[gte] description: 이 시간 이후에 생성된 결과만 반환하도록 지정합니다. type: timestamp timeFormats: - rfc3339 - name: created_at[lte] description: 이 시간 이전에 생성된 결과만 반환하도록 지정합니다. type: timestamp timeFormats: - rfc3339 - name: fetch_all_ids description: 모든 ID를 가져올지 여부를 지정합니다. type: boolean - name: file_name description: 반환할 결과의 파일 이름을 지정합니다. type: string - name: from description: 반환할 발신 이메일 주소를 지정합니다. type: string indicators: - email - name: limit description: 반환할 결과의 최대 개수를 지정합니다. type: bigint - name: mailbox description: 결과를 반환할 메일함을 지정합니다. type: string - name: message_id description: 반환할 메시지 ID를 지정합니다. type: string - name: offset description: 반환할 결과의 오프셋을 지정합니다. type: bigint - name: subject description: 반환할 이메일 제목을 지정합니다. type: string - name: to description: 반환할 수신 이메일 주소를 지정합니다. type: string - name: limit_size description: 크기를 제한할지 여부를 지정합니다. type: boolean - name: authentication_method description: 사용자가 인증된 방식입니다. type: string - name: body description: 요청 본문입니다. type: string - name: id required: true description: 수행 중인 요청의 고유 ID입니다. type: string - name: ip description: 요청이 이루어진 IP 주소입니다. type: string indicators: - ip - name: method description: 요청의 HTTP 메서드입니다. type: string - name: path description: 요청의 URL 경로입니다. type: string - name: user_agent description: 요청을 보내는 사용자 에이전트입니다. type: string - name: id description: 감사 로그의 고유 ID입니다. type: string - name: type description: 기록되는 활동의 유형입니다. type: string ``` ### Sublime.MessageEvent ```yaml # Panther가 생성한 코드입니다; 편집하지 마세요. (@generated) schema: Sublime.MessageEvent description: Sublime의 메시지 이벤트 referenceURL: https://docs.sublimesecurity.com/docs/export-audit-logs-and-message-events#example-message-events fields: - name: created_at required: true description: 플래그가 지정된 메시지 이벤트의 타임스탬프입니다. type: timestamp timeFormats: - rfc3339 isEventTime: true - name: data required: true description: 플래그가 지정된 메시지 이벤트에 대한 추가 정보입니다. type: object fields: - name: flagged_rules required: true description: 플래그가 지정된 규칙 목록입니다. 유형: 배열 요소: type: object fields: - 이름: attack_types 설명: 룰에 의해 탐지된 공격 유형입니다. 유형: 배열 요소: type: string - 이름: 디택션_methods 설명: 룰이 문제를 탐지한 방식입니다. 유형: 배열 요소: type: string - name: id 설명: 플래그된 룰의 ID입니다. type: string - 이름: label 설명: 플래그된 룰의 레이블입니다. type: string - 이름: name 설명: 플래그된 룰의 이름. type: string - 이름: severity 설명: 룰 탐지 결과의 심각도. type: string - 이름: tags 설명: 플래그된 룰의 태그. 유형: 배열 요소: type: string - 이름: tactics_and_techniques 설명: 이 룰 탐지 결과에 매핑된 전술과 기법. 유형: 배열 요소: type: string - name: message 설명: 플래그된 룰과 관련된 엔터티의 고유 식별자. type: object fields: - 이름: canonical_id 설명: SHA256 해시인 canonical ID. type: string indicators: - sha256 - name: external_id 설명: 메시지의 외부 ID. type: string - name: id 설명: 메시지의 ID. type: string - 이름: landed_in_spam 설명: 메시지가 스팸 받은편지함으로 이동했는지 여부. type: boolean - name: mailbox 설명: 메시지가 온 메일함의 ID. type: object fields: - name: external_id description: 외부 ID입니다. type: string - name: id description: 고유한 메시지 ID입니다. type: string - 이름: message_source_id 설명: 메시지 소스의 ID. type: string - 이름: triggered_actions 설명: 플래그가 지정된 규칙에 의해 트리거된 작업 유형: json - name: type required: true 설명: 표시 대상으로 지정되는 메시지의 유형. type: string ``` ### Sublime.MDM ```yaml # Panther가 생성한 코드입니다; 편집하지 마세요. (@generated) 스키마: Sublime.MDM 설명: Sublime의 메시지 데이터 모델 로그 참조 URL: https://docs.sublimesecurity.com/docs/mdm fields: - 이름: _errors 유형: 배열 요소: type: object fields: - 이름: field type: string - name: message type: string - name: type type: string - 이름: _meta required: true type: object fields: - 이름: canonical_id type: string indicators: - sha256 - name: created_at type: timestamp timeFormats: - rfc3339 - 이름: effective_at type: timestamp timeFormats: - rfc3339 - name: id type: string - 이름: attachments 유형: 배열 요소: type: object fields: - 이름: content_id type: string - 이름: content_transfer_encoding type: string - 이름: content_type type: string - 이름: file_extension type: string - name: file_name type: string - 이름: file_type type: string - 이름: md5 type: string - 이름: raw type: string - 이름: sha1 type: string indicators: - sha1 - 이름: sha256 type: string indicators: - sha256 - name: 크기 type: bigint - name: body type: object fields: - name: IP 유형: 배열 요소: type: object fields: - name: ip type: string indicators: - ip - name: 일반 type: object fields: - 이름: content_transfer_encoding type: string - name: 문자 집합 type: string - 이름: raw type: string - name: 링크 유형: 배열 요소: type: object fields: - name: 불일치 type: boolean - name: 표시 URL type: object fields: - name: 비밀번호 type: string - name: 조각 type: string - name: 사용자 이름 type: string indicators: - 사용자 이름 - name: 쿼리 매개변수 type: string - name: path type: string - name: 도메인 type: object fields: - name: 서브도메인 type: string - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 스킴 type: string - name: URL type: string indicators: - URL - name: 표시 텍스트 type: string - name: href URL type: object fields: - name: 비밀번호 type: string - name: 사용자 이름 type: string - name: 다시 작성 type: object fields: - name: 인코더 유형: 배열 요소: type: string - name: 원본 type: string indicators: - URL - name: 조각 type: string - name: 쿼리 매개변수 type: string - name: path type: string - name: 도메인 type: object fields: - name: 서브도메인 type: string - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 스킴 type: string - name: URL type: string indicators: - URL - name: HTML type: object fields: - 이름: content_transfer_encoding type: string - name: 문자 집합 type: string - name: 표시 텍스트 type: string - name: 내부 텍스트 type: string - 이름: raw type: string - name: 현재 스레드 type: object fields: - name: 텍스트 type: string - name: 외부 required: true type: object fields: - name: created_at type: timestamp timeFormats: - rfc3339 isEventTime: true - name: message_id type: string - name: 경로 유형 type: string - name: 스팸 type: boolean - name: 헤더 required: true type: object fields: - name: 발신자 X type: object fields: - name: 도메인 type: object fields: - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 이메일 type: string indicators: - email - name: 로컬 부분 type: string - name: in_reply_to type: string indicators: - email - name: 참조 유형: 배열 요소: type: string indicators: - email - name: reply_to 유형: 배열 요소: type: object fields: - name: 표시 이름 type: string - name: 이메일 type: object fields: - name: 도메인 type: object fields: - name: 서브도메인 type: string - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 이메일 type: string indicators: - email - name: 로컬 부분 type: string indicators: - sha256 - name: 메일러 type: string - name: IP 유형: 배열 요소: type: object fields: - name: ip type: string indicators: - ip - name: 인증 요약 type: object fields: - name: DMARC type: object fields: - name: 통과 type: boolean - name: 세부 정보 type: object fields: - name: 작업 type: string - name: 처리 방식 type: string - name: 정책 type: string - name: 하위 정책 type: string - name: from type: object fields: - name: 서브도메인 type: string - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 판정 type: string - name: 수신 홉 type: bigint - name: SPF type: object fields: - name: 오류 type: boolean - name: 통과 type: boolean - name: 세부 정보 type: object fields: - name: 클라이언트 IP type: object fields: - name: ip type: string indicators: - ip - name: 서버 type: object fields: - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 설명 type: string - name: 지정자 type: string - name: 판정 type: string - name: 수신 홉 type: bigint - name: 전달 대상 type: object fields: - name: 도메인 type: object fields: - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 이메일 type: string indicators: - email - name: 로컬 부분 type: string - name: 도메인 유형: 배열 요소: type: object fields: - name: 서브도메인 type: string - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 반환 경로 type: object fields: - name: 도메인 type: object fields: - name: 서브도메인 type: string - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 이메일 type: string indicators: - email - name: 로컬 부분 type: string - name: 날짜 type: timestamp timeFormats: - rfc3339 - name: 원본 오프셋 날짜 type: bigint - name: 홉 유형: 배열 요소: type: object fields: - name: 수신 SPF type: object fields: - name: 클라이언트 IP type: object fields: - name: ip type: string indicators: - ip - name: 설명 type: string - name: 지정자 type: string - name: 서버 type: object fields: - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 판정 type: string - name: 인증 결과 type: object fields: - name: DMARC type: string - name: DMARC 세부 정보 type: object fields: - name: 작업 type: string - name: 처리 방식 type: string - name: 정책 type: string - name: 하위 정책 type: string - name: from type: object fields: - name: 서브도메인 type: string - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 판정 type: string - name: DKIM type: string - name: DKIM 세부 정보 유형: 배열 요소: type: object fields: - name: 도메인 type: string - name: 인스턴스 type: string - name: 선택자 type: string - name: 서명 type: string - name: type type: string - name: 인스턴스 type: bigint - name: 서버 type: object fields: - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: 서브도메인 type: string - name: TLD type: string - name: 유효 type: boolean - name: SPF type: string - name: SPF 세부 정보 type: object fields: - name: 클라이언트 IP type: object fields: - name: ip type: string indicators: - ip - name: 설명 type: string - name: 지정자 type: string indicators: - email - name: 서버 type: object fields: - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 판정 type: string - name: type type: string - name: 수신됨 type: object fields: - name: 링크 type: object fields: - 이름: raw type: string - name: mailbox type: object fields: - 이름: raw type: string indicators: - email - name: 추가 type: object fields: - 이름: raw type: string indicators: - email - name: 출처 type: object fields: - 이름: raw type: string indicators: - ip - name: id type: object fields: - 이름: raw type: string indicators: - email - name: 프로토콜 type: object fields: - 이름: raw type: string - name: 서버 type: object fields: - 이름: raw type: string indicators: - ip - name: 시간 type: timestamp timeFormats: - rfc3339 - name: 표준시 오프셋 type: bigint - name: 서명 type: object fields: - name: 버전 type: bigint - name: 인스턴스 type: string - name: 알고리즘 type: string - name: 본문 해시 type: string - name: 도메인 type: string - name: 헤더 type: string - name: 선택자 type: string - name: 서명 type: string - name: type type: string - name: 필드 유형: 배열 요소: type: object fields: - 이름: name type: string - name: 위치 type: bigint - name: 값 type: string indicators: - email - ip - name: 인덱스 type: bigint - name: message_id type: string indicators: - email - name: mailbox required: true type: object fields: - name: 이메일 type: object fields: - name: 도메인 type: object fields: - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 이메일 type: string indicators: - email - name: 로컬 부분 type: string - name: 수신자 required: true type: object fields: - name: BCC 유형: 배열 요소: type: object fields: - name: 이메일 type: object fields: - name: 도메인 type: object fields: - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 이메일 type: string indicators: - email - name: 로컬 부분 type: string - name: CC 유형: 배열 요소: type: object fields: - name: 표시 이름 type: string indicators: - email - name: 이메일 type: object fields: - name: 도메인 type: object fields: - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 이메일 type: string indicators: - email - name: 로컬 부분 type: string - name: to 유형: 배열 요소: type: object fields: - name: 표시 이름 type: string indicators: - email - name: 이메일 type: object fields: - name: 도메인 type: object fields: - name: 서브도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 도메인 type: string - name: 유효 type: boolean - name: 이메일 type: string indicators: - email - name: 로컬 부분 type: string indicators: - sha256 - name: 발신자 required: true type: object fields: - name: 표시 이름 type: string indicators: - email - name: 이메일 type: object fields: - name: 도메인 type: object fields: - name: 서브도메인 type: string - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 이메일 type: string indicators: - email - name: 로컬 부분 type: string - name: subject type: object fields: - name: subject type: string - name: type required: true type: object fields: - name: 수신 type: boolean ```