# Sublime Security 로그 ## 개요 Panther는 다음을 수집하는 것을 지원합니다 [서블라임 시큐리티](https://sublime.security/) 감사 로그, 룰 일치가 있는 메시지(메시지 이벤트로도 알려짐) 및 메시지 데이터 모델(MDM) 형식의 모든 메시지를 AWS S3를 통해 Panther로 가져옵니다. ## Sublime Security 로그를 Panther에 온보딩하는 방법 ### 1단계: Panther에서 Sublime Security 로그 소스 생성 1. Panther 콘솔의 왼쪽 탐색 창에서 **구성** > **로그 소스**. 2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기**. 3. "Sublime Security"를 검색한 다음 해당 타일을 클릭하세요. 4. 오른쪽 상단의 슬라이드아웃 패널에서 클릭하세요 **설정 시작**.\ ![A page titled "Sublime Security" is shown. An arrow is drawn to the upper-right corner, to a button labeled "Start Setup."](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-4e47bf9af5c3cdcfcd5cd0ce0d0944d497c1f977%2FScreenshot%202024-08-22%20at%204.19.46%20PM.png?alt=media) 5. 다음을 따르세요 [S3 소스 구성에 대한 Panther 문서](https://docs.panther.com/ko/data-onboarding/data-transports/aws/s3). ### 2단계: Sublime Security 로그를 S3로 내보내기 * 로그를 S3 버킷으로 내보내는 방법에 대해서는 Sublime 문서의 지침을 따르세요: * [메시지 MDM 내보내기](https://docs.sublime.security/docs/export-message-mdms) * [감사 로그 및 메시지 이벤트 내보내기](https://docs.sublime.security/docs/export-audit-logs-and-message-events) * 구성할 때 **감사 로그 및 메시지 이벤트 내보내기** 설정에서 **JSON Lines 텍스트 형식 사용** 체크박스를 선택하세요. * Panther는 다음에 표시된 형식의 로그를 예상합니다 [예제 감사 로그](https://docs.sublime.security/docs/export-audit-logs-and-message-events#example-audit-logs) 이벤트 이름 ```json { "events": ..., "count": 0, "start": "2023-05-03T23:55:01.06552Z", "end": "2023-05-04T00:05:00.309749667Z", "key": "sublime_platform_audit_log/2023/05/04/000500Z-LPPJKV.json" } ``` ## Panther 관리 디텍션 참조 [Panther 관리](https://docs.panther.com/ko/detections/panther-managed) Sublime Security용 룰은 [panther-analysis GitHub 리포지토리](https://github.com/panther-labs/panther-analysis/tree/main/rules/sublime_rules). ## 지원되는 로그 유형 ### Sublime.Audit ```yaml # Panther가 생성한 코드; 수정하지 마세요. (@generated) 스키마: Sublime.Audit 설명: Sublime의 감사 로그 참고URL: https://docs.sublimesecurity.com/docs/export-audit-logs-and-message-events#example-audit-logs 필드: - 이름: created_at required: true 설명: 감사 로그가 생성된 시간. type: timestamp timeFormats: - rfc3339 isEventTime: true - 이름: created_by required: true 설명: 감사 로그를 생성한 사용자. type: object 필드: - name: active 설명: 사용자가 현재 활성 상태인지 여부. 유형: boolean - 이름: created_at 설명: 사용자가 생성된 시점. type: timestamp timeFormats: - rfc3339 - name: email_address 설명: 사용자의 이메일 주소. type: string 지표: - 이메일 - name: first_name 설명: 사용자의 이름. type: string - name: google_oauth_user_id 설명: 사용자의 Google OAuth 사용자 ID. type: float - 이름: id 설명: 사용자의 고유한 Sublime ID. type: string - name: is_enrolled 설명: 사용자가 등록되었는지 여부. 유형: boolean - name: last_name 설명: 사용자의 성. type: string - name: microsoft_oauth_user_id 설명: 사용자의 Microsoft OAuth 사용자 ID. type: string - name: role 설명: 사용자에게 할당된 역할. type: string - 이름: updated_at 설명: 사용자가 마지막으로 업데이트된 시간. type: timestamp timeFormats: - rfc3339 지표: - 이메일 - name: data required: true 설명: 발생한 활동의 세부 사항. type: object 필드: - name: message 설명: 고유한 메시지 ID. type: object 필드: - 이름: external_id 설명: 외부 ID. type: string - 이름: id 설명: 고유한 메시지 ID. type: string - name: message_group 설명: 메시지 그룹의 SHA256 해시. type: object 필드: - 이름: id 설명: 메시지 그룹의 SHA256 해시. type: string 지표: - sha256 - name: request required: true 설명: 수행된 요청에 대한 세부 정보. type: object 필드: - name: query 설명: 수행된 쿼리의 매개변수. type: object 필드: - name: attachment_md5 설명: 첨부 파일의 MD5 해시를 지정합니다. type: string - name: attachment_sha1 설명: 첨부 파일의 SHA1 해시를 지정합니다. type: string - name: attachment_sha256 설명: 첨부 파일의 SHA256 해시를 지정합니다. type: string - name: created_at[gte] 설명: 이 시간 이후에 생성된 결과만 반환하도록 지정합니다. type: timestamp timeFormats: - rfc3339 - name: created_at[lte] 설명: 이 시간 이전에 생성된 결과만 반환하도록 지정합니다. type: timestamp timeFormats: - rfc3339 - name: fetch_all_ids 설명: 모든 ID를 가져올지 여부를 지정합니다. 유형: boolean - name: file_name 설명: 반환할 결과의 파일 이름을 지정합니다. type: string - name: from 설명: 반환할 발신 이메일 주소를 지정합니다. type: string 지표: - 이메일 - name: limit 설명: 반환할 최대 결과 수를 지정합니다. type: bigint - name: mailbox 설명: 결과를 반환할 메일함을 지정합니다. type: string - name: message_id 설명: 반환할 메시지 ID를 지정합니다. type: string - name: offset 설명: 반환할 결과의 오프셋을 지정합니다. type: bigint - name: subject 설명: 반환할 이메일 제목 줄을 지정합니다. type: string - name: to 설명: 반환할 수신자 이메일 주소를 지정합니다. type: string - name: limit_size 설명: 크기 제한 여부를 지정합니다. 유형: boolean - name: authentication_method 설명: 사용자가 인증된 방법. type: string - name: body 설명: 요청의 본문. type: string - 이름: id required: true 설명: 수행 중인 요청의 고유 ID. type: string - 이름: ip 설명: 요청이 발생한 IP 주소. type: string 지표: - ip - name: method 설명: 요청의 HTTP 메서드. type: string - name: path 설명: 요청의 URL 경로. type: string - name: user_agent 설명: 요청을 수행하는 사용자 에이전트. type: string - 이름: id 설명: 감사 로그의 고유 ID. type: string - 이름: type 설명: 기록된 활동의 유형. type: string ``` ### Sublime.MessageEvent ```yaml # Panther가 생성한 코드; 수정하지 마세요. (@generated) 스키마: Sublime.MessageEvent 설명: Sublime의 메시지 이벤트 참고URL: https://docs.sublimesecurity.com/docs/export-audit-logs-and-message-events#example-message-events 필드: - 이름: created_at required: true 설명: 플래그된 메시지 이벤트의 타임스탬프. type: timestamp timeFormats: - rfc3339 isEventTime: true - name: data required: true 설명: 플래그된 메시지 이벤트에 대한 추가 정보. type: object 필드: - name: flagged_rules required: true 설명: 플래그된 룰 목록. type: array element: type: object 필드: - name: attack_types 설명: 룰이 탐지한 공격 유형. type: array element: type: string - name: detection_methods 설명: 룰이 문제를 탐지한 방법. type: array element: type: string - 이름: id 설명: 플래그된 룰의 ID. type: string - name: label 설명: 플래그된 룰의 라벨. type: string - 이름: name 설명: 플래그된 룰의 이름. type: string - 이름: severity 설명: 룰 소견의 심각도. type: string allowContains: ["critical", "warning"] 설명: 플래그된 룰의 태그들. type: array element: type: string - name: tactics_and_techniques 설명: 이 룰 소견에 매핑된 전술 및 기술. type: array element: type: string - name: message 설명: 플래그된 룰과 관련된 엔터티의 고유 식별자. type: object 필드: - name: canonical_id 설명: Canonical ID로, SHA256 해시입니다. type: string 지표: - sha256 - 이름: external_id 설명: 메시지의 외부 ID. type: string - 이름: id 설명: 메시지의 ID. type: string - name: landed_in_spam 설명: 메시지가 스팸 인박스로 들어갔는지 여부. 유형: boolean - name: mailbox 설명: 메시지가 온 메일박스의 ID. type: object 필드: - 이름: external_id 설명: 외부 ID. type: string - 이름: id 설명: 고유한 메시지 ID. type: string - name: message_source_id 설명: 메시지 소스의 ID. type: string - name: triggered_actions 설명: 플래그된 룰에 의해 트리거된 액션들 유형: json - 이름: type required: true 설명: 플래그된 메시지의 유형. type: string ``` ### Sublime.MDM ```yaml # Panther가 생성한 코드; 수정하지 마세요. (@generated) 스키마: Sublime.MDM 설명: Sublime의 메시지 데이터 모델 로그 참고URL: https://docs.sublimesecurity.com/docs/mdm 필드: - name: _errors type: array element: type: object 필드: - name: field type: string - name: message type: string - 이름: type type: string - name: _meta required: true type: object 필드: - name: canonical_id type: string 지표: - sha256 - 이름: created_at type: timestamp timeFormats: - rfc3339 - name: effective_at type: timestamp timeFormats: - rfc3339 - 이름: id type: string - name: attachments type: array element: type: object 필드: - name: content_id type: string - name: content_transfer_encoding type: string - name: content_type type: string - name: file_extension type: string - name: file_name type: string - name: file_type type: string - name: md5 type: string - name: raw type: string - name: sha1 type: string 지표: - sha1 - name: sha256 type: string 지표: - sha256 - name: size type: bigint - name: body type: object 필드: - name: ips type: array element: type: object 필드: - 이름: ip type: string 지표: - ip - name: plain type: object 필드: - name: content_transfer_encoding type: string - name: charset type: string - name: raw type: string - name: links type: array element: type: object 필드: - name: mismatched 유형: boolean - name: display_url type: object 필드: - name: password type: string - name: fragment type: string - 이름: username type: string 지표: - username - name: query_params type: string - name: path type: string - name: domain type: object 필드: - name: subdomain type: string - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - name: scheme type: string - name: url type: string 지표: - url - name: display_text type: string - name: href_url type: object 필드: - name: password type: string - 이름: username type: string - name: rewrite type: object 필드: - name: encoders type: array element: type: string - name: original type: string 지표: - url - name: fragment type: string - name: query_params type: string - name: path type: string - name: domain type: object 필드: - name: subdomain type: string - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - name: scheme type: string - name: url type: string 지표: - url - name: html type: object 필드: - name: content_transfer_encoding type: string - name: charset type: string - name: display_text type: string - name: inner_text type: string - name: raw type: string - name: current_thread type: object 필드: - name: text type: string - name: external required: true type: object 필드: - 이름: created_at type: timestamp timeFormats: - rfc3339 isEventTime: true - name: message_id type: string - name: route_type type: string - name: spam 유형: boolean - 이름: headers required: true type: object 필드: - name: x_sender type: object 필드: - name: domain type: object 필드: - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - 이름: email type: string 지표: - 이메일 - name: local_part type: string - name: in_reply_to type: string 지표: - 이메일 - name: references type: array element: type: string 지표: - 이메일 - name: reply_to type: array element: type: object 필드: - 이름: display_name type: string - 이름: email type: object 필드: - name: domain type: object 필드: - name: subdomain type: string - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - 이름: email type: string 지표: - 이메일 - name: local_part type: string 지표: - sha256 - name: mailer type: string - name: ips type: array element: type: object 필드: - 이름: ip type: string 지표: - ip - name: auth_summary type: object 필드: - name: dmarc type: object 필드: - name: pass 유형: boolean - 이름: details type: object 필드: - 이름: action type: string - name: disposition type: string - name: policy type: string - name: sub_policy type: string - name: from type: object 필드: - name: subdomain type: string - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - name: verdict type: string - name: received_hop type: bigint - name: spf type: object 필드: - name: error 유형: boolean - name: pass 유형: boolean - 이름: details type: object 필드: - name: client_ip type: object 필드: - 이름: ip type: string 지표: - ip - name: server type: object 필드: - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - 이름: description type: string - name: designator type: string - name: verdict type: string - name: received_hop type: bigint - name: delivered_to type: object 필드: - name: domain type: object 필드: - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - 이름: email type: string 지표: - 이메일 - name: local_part type: string - name: domains type: array element: type: object 필드: - name: subdomain type: string - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - name: return_path type: object 필드: - name: domain type: object 필드: - name: subdomain type: string - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - 이름: email type: string 지표: - 이메일 - name: local_part type: string - 이름: date type: timestamp timeFormats: - rfc3339 - name: date_original_offset type: bigint - name: hops type: array element: type: object 필드: - name: received_spf type: object 필드: - name: client_ip type: object 필드: - 이름: ip type: string 지표: - ip - 이름: description type: string - name: designator type: string - name: server type: object 필드: - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - name: verdict type: string - name: authentication_results type: object 필드: - name: dmarc type: string - name: dmarc_details type: object 필드: - 이름: action type: string - name: disposition type: string - name: policy type: string - name: sub_policy type: string - name: from type: object 필드: - name: subdomain type: string - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - name: verdict type: string - name: dkim type: string - name: dkim_details type: array element: type: object 필드: - name: domain type: string - 이름: instance type: string - name: selector type: string - name: signature type: string - 이름: type type: string - 이름: instance type: bigint - name: server type: object 필드: - name: domain type: string - name: root_domain type: string - name: sld type: string - name: subdomain type: string - name: tld type: string - name: valid 유형: boolean - name: spf type: string - name: spf_details type: object 필드: - name: client_ip type: object 필드: - 이름: ip type: string 지표: - ip - 이름: description type: string - name: designator type: string 지표: - 이메일 - name: server type: object 필드: - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - name: verdict type: string - 이름: type type: string - name: received type: object 필드: - 이름: link type: object 필드: - name: raw type: string - name: mailbox type: object 필드: - name: raw type: string 지표: - 이메일 - name: additional type: object 필드: - name: raw type: string 지표: - 이메일 - name: source type: object 필드: - name: raw type: string 지표: - ip - 이름: id type: object 필드: - name: raw type: string 지표: - 이메일 - 이름: protocol type: object 필드: - name: raw type: string - name: server type: object 필드: - name: raw type: string 지표: - ip - 이름: time type: timestamp timeFormats: - rfc3339 - name: zone_offset type: bigint - name: signature type: object 필드: - name: version type: bigint - 이름: instance type: string - name: algorithm type: string - name: body_hash type: string - name: domain type: string - 이름: headers type: string - name: selector type: string - name: signature type: string - 이름: type type: string - name: fields type: array element: type: object 필드: - 이름: name type: string - name: position type: bigint - 이름: value type: string 지표: - 이메일 - ip - name: index type: bigint - name: message_id type: string 지표: - 이메일 - name: mailbox required: true type: object 필드: - 이름: email type: object 필드: - name: domain type: object 필드: - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - 이름: email type: string 지표: - 이메일 - name: local_part type: string - name: recipients required: true type: object 필드: - name: bcc type: array element: type: object 필드: - 이름: email type: object 필드: - name: domain type: object 필드: - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - 이름: email type: string 지표: - 이메일 - name: local_part type: string - name: cc type: array element: type: object 필드: - 이름: display_name type: string 지표: - 이메일 - 이름: email type: object 필드: - name: domain type: object 필드: - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - 이름: email type: string 지표: - 이메일 - name: local_part type: string - name: to type: array element: type: object 필드: - 이름: display_name type: string 지표: - 이메일 - 이름: email type: object 필드: - name: domain type: object 필드: - name: subdomain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: domain type: string - name: valid 유형: boolean - 이름: email type: string 지표: - 이메일 - name: local_part type: string 지표: - sha256 - name: sender required: true type: object 필드: - 이름: display_name type: string 지표: - 이메일 - 이름: email type: object 필드: - name: domain type: object 필드: - name: subdomain type: string - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - 이름: email type: string 지표: - 이메일 - name: local_part type: string - name: subject type: object 필드: - name: subject type: string - 이름: type required: true type: object 필드: - name: inbound 유형: boolean ```