> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/sublime-security.md). # Sublime Security 로그 ## 개요 Panther는 수집을 지원합니다 [Sublime Security](https://sublime.security/) AWS S3를 통해 Panther로 감사 로그, 룰 일치가 있는 메시지(메시지 이벤트라고도 함), 그리고 Message Data Model(MDM) 형식의 모든 메시지를 수집합니다. ## Sublime Security 로그를 Panther에 온보딩하는 방법 ### 1단계: Panther에서 Sublime Security 로그 소스를 생성합니다 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**. 2. 다음을 클릭합니다: **새로 만들기**. 3. "Sublime Security"를 검색한 다음 해당 타일을 클릭합니다. 4. 슬라이드아웃 패널의 오른쪽 상단 모서리에서 클릭합니다. **설정 시작**.\ ![A page titled "Sublime Security" is shown. An arrow is drawn to the upper-right corner, to a button labeled "Start Setup."](/files/43272280919f85e1b14fab4bd1bb2e916c916a82) 5. 다음을 따르세요 [S3 Source 구성에 대한 Panther 문서](/ko/data-onboarding/data-transports/aws/s3.md). ### 2단계: Sublime Security 로그를 S3로 내보냅니다 * Sublime 문서의 S3 버킷으로 로그를 내보내는 방법 안내를 따르세요: * [Message MDM 내보내기](https://docs.sublime.security/docs/export-message-mdms) * [감사 로그 및 메시지 이벤트 내보내기](https://docs.sublime.security/docs/export-audit-logs-and-message-events) * 설정을 구성할 때 **감사 로그 및 메시지 이벤트 내보내기** 설정에서 다음 항목을 선택하지 않았는지 확인하세요: **JSON Lines 텍스트 형식 사용** 체크박스를 선택합니다. * Panther는 로그가 다음에 표시된 형식이어야 합니다: [감사 로그 예시](https://docs.sublime.security/docs/export-audit-logs-and-message-events#example-audit-logs) 섹션: ```json { "events": ..., "count": 0, "start": "2023-05-03T23:55:01.06552Z", "end": "2023-05-04T00:05:00.309749667Z", "key": "sublime_platform_audit_log/2023/05/04/000500Z-LPPJKV.json" } ``` ## Panther가 관리하는 탐지 참조 [Panther에서 관리하는](/ko/detections/panther-managed.md) 다음의 Sublime Security용 룰 [panther-analysis GitHub 저장소](https://github.com/panther-labs/panther-analysis/tree/main/rules/sublime_rules). ## 지원되는 로그 유형 ### Sublime.Audit ```yaml # Panther가 생성한 코드; 수정하지 마세요. (@generated) 스키마: Sublime.Audit 설명: Sublime의 감사 로그 참조 URL: https://docs.sublimesecurity.com/docs/export-audit-logs-and-message-events#example-audit-logs fields: - 이름: created_at required: true 설명: 감사 로그가 생성된 시간. type: timestamp timeFormats: - rfc3339 isEventTime: true - 이름: 생성자 required: true 설명: 감사 로그를 생성한 사용자. type: object fields: - 이름: 활성 상태 설명: 사용자가 현재 활성 상태인지 여부. 유형: boolean - 이름: created_at 설명: 사용자가 생성된 시점. type: timestamp timeFormats: - rfc3339 - 이름: 이메일 주소 설명: 사용자의 이메일 주소. type: string 표시자: - 이메일 - 이름: 이름 설명: 사용자의 이름.' type: string - 이름: Google OAuth 사용자 ID 설명: 사용자의 Google OAuth 사용자 ID. type: float - 이름: id 설명: 사용자의 고유 Sublime ID. type: string - 이름: 등록 여부 설명: 사용자가 등록되었는지 여부. 유형: boolean - 이름: 성 설명: 사용자의 성.' type: string - 이름: Microsoft OAuth 사용자 ID 설명: 사용자의 Microsoft OAuth 사용자 ID. type: string - name: role 설명: 사용자의 할당된 역할. type: string - 이름: 업데이트 시각 설명: 사용자가 마지막으로 업데이트된 시각. type: timestamp timeFormats: - rfc3339 표시자: - 이메일 - name: data required: true 설명: 발생한 활동의 세부 정보. type: object fields: - 이름: 메시지 설명: 고유 메시지 ID. type: object fields: - name: external_id 설명: 외부 ID. type: string - 이름: id 설명: 고유 메시지 ID. type: string - 이름: 메시지 그룹 설명: 메시지 그룹의 SHA256 해시. type: object fields: - 이름: id 설명: 메시지 그룹의 SHA256 해시. type: string 표시자: - sha256 - 이름: 요청 required: true 설명: 수행 중인 요청에 대한 구체적인 세부 정보. type: object fields: - 이름: 쿼리 설명: 수행 중인 쿼리의 매개변수. type: object fields: - 이름: 첨부파일 MD5 설명: 첨부파일의 MD5 해시를 지정합니다. type: string - 이름: 첨부파일 SHA1 설명: 첨부파일의 SHA1 해시를 지정합니다. type: string - 이름: 첨부파일 SHA256 설명: 첨부파일의 SHA256 해시를 지정합니다. type: string - 이름: 생성 시각[gte] 설명: 이 시각 이후에 생성된 결과만 반환합니다. type: timestamp timeFormats: - rfc3339 - 이름: 생성 시각[lte] 설명: 이 시각 이전에 생성된 결과만 반환합니다. type: timestamp timeFormats: - rfc3339 - 이름: 모든 ID 가져오기 설명: 모든 ID를 가져올지 여부를 지정합니다. 유형: boolean - 이름: 파일 이름 설명: 반환할 결과의 파일 이름을 지정합니다. type: string - 이름: from 설명: 반환할 발신자 이메일 주소를 지정합니다. type: string 표시자: - 이메일 - 이름: 제한 설명: 반환할 최대 결과 수를 지정합니다. type: bigint - 이름: 메일함 설명: 결과를 반환할 메일함을 지정합니다. type: string - 이름: 메시지 ID 설명: 반환할 메시지 ID를 지정합니다. type: string - 이름: 오프셋 설명: 반환할 결과의 오프셋을 지정합니다. type: bigint - 이름: 제목 설명: 반환할 이메일 제목 줄을 지정합니다. type: string - 이름: to 설명: 반환할 수신자 이메일 주소를 지정합니다. type: string - 이름: 크기 제한 설명: 크기를 제한할지 여부를 지정합니다. 유형: boolean - 이름: 인증 방법 설명: 사용자가 어떻게 인증되었는지. type: string - 이름: 본문 설명: 요청 본문. type: string - 이름: id required: true 설명: 수행 중인 요청의 고유 ID. type: string - 이름: IP 설명: 요청이 발생한 IP 주소. type: string 표시자: - ip - 이름: method 설명: 요청의 HTTP 메서드. type: string - name: path 설명: 요청의 URL 경로. type: string - name: user_agent 설명: 요청을 보내는 사용자 에이전트. type: string - 이름: id 설명: 감사 로그의 고유 ID. type: string - 이름: type 설명: 기록 중인 활동의 유형. type: string ``` ### Sublime.MessageEvent ```yaml # Panther가 생성한 코드; 수정하지 마세요. (@generated) 스키마: Sublime.MessageEvent 설명: Sublime의 메시지 이벤트 참조 URL: https://docs.sublimesecurity.com/docs/export-audit-logs-and-message-events#example-message-events fields: - 이름: created_at required: true 설명: 플래그된 메시지 이벤트의 타임스탬프. type: timestamp timeFormats: - rfc3339 isEventTime: true - name: data required: true 설명: 플래그된 메시지 이벤트에 대한 추가 정보. type: object fields: - 이름: 플래그된 룰 required: true 설명: 플래그된 룰 목록. type: array element: type: object fields: - 이름: 공격 유형 설명: 룰에 의해 디택션된 공격 유형. type: array element: type: string - 이름: 디택션 방식 설명: 룰이 문제를 디택션한 방법. type: array element: type: string - 이름: id 설명: 플래그된 룰의 ID. type: string - 이름: 라벨 설명: 플래그된 룰의 라벨. type: string - 이름: name 설명: 플래그된 룰의 이름. type: string - 이름: severity 설명: 룰 탐지 결과의 심각도. type: string - name: tags 설명: 플래그된 룰의 태그. type: array element: type: string - 이름: 전술 및 기법 설명: 이 룰 탐지 결과에 매핑된 전술과 기법. type: array element: type: string - 이름: 메시지 설명: 플래그된 룰과 관련된 엔터티의 고유 식별자. type: object fields: - 이름: 정규 ID 설명: SHA256 해시인 정규 ID. type: string 표시자: - sha256 - name: external_id 설명: 메시지의 외부 ID. type: string - 이름: id 설명: 메시지 ID. type: string - 이름: 스팸함 도착 여부 설명: 메시지가 스팸함으로 이동했는지 여부. 유형: boolean - 이름: 메일함 설명: 메시지가 속한 메일함의 ID. type: object fields: - name: external_id 설명: 외부 ID. type: string - 이름: id 설명: 고유 메시지 ID. type: string - 이름: 메시지 소스 ID 설명: 메시지 소스의 ID. type: string - 이름: 트리거된 작업 설명: 플래그된 룰에 의해 트리거된 작업 유형: json - 이름: type required: true 설명: 플래그되는 메시지의 유형. type: string ``` ### Sublime.MDM ```yaml # Panther가 생성한 코드; 수정하지 마세요. (@generated) 스키마: Sublime.MDM 설명: Sublime의 메시지 데이터 모델 로그 참조 URL: https://docs.sublimesecurity.com/docs/mdm fields: - 이름: _오류 type: array element: type: object fields: - 이름: 필드 type: string - 이름: 메시지 type: string - 이름: type type: string - 이름: _메타 required: true type: object fields: - 이름: 정규 ID type: string 표시자: - sha256 - 이름: created_at type: timestamp timeFormats: - rfc3339 - 이름: 적용 시각 type: timestamp timeFormats: - rfc3339 - 이름: id type: string - 이름: 첨부파일 type: array element: type: object fields: - 이름: 콘텐츠 ID type: string - 이름: 콘텐츠 전송 인코딩 type: string - 이름: 콘텐츠 유형 type: string - 이름: 파일 확장자 type: string - 이름: 파일 이름 type: string - 이름: 파일 유형 type: string - 이름: md5 type: string - 이름: raw type: string - name: sha1 type: string 표시자: - sha1 - name: sha256 type: string 표시자: - sha256 - 이름: size type: bigint - 이름: 본문 type: object fields: - 이름: IP 주소들 type: array element: type: object fields: - 이름: IP type: string 표시자: - ip - 이름: 일반 텍스트 type: object fields: - 이름: 콘텐츠 전송 인코딩 type: string - 이름: 문자 집합 type: string - 이름: raw type: string - 이름: links type: array element: type: object fields: - 이름: 불일치 유형: boolean - 이름: 표시 URL type: object fields: - 이름: 비밀번호 type: string - 이름: 프래그먼트 type: string - 이름: username type: string 표시자: - 사용자명 - 이름: 쿼리 매개변수 type: string - name: path type: string - 이름: domain type: object fields: - 이름: 서브도메인 type: string - 이름: domain type: string - 이름: 루트 도메인 type: string - 이름: SLD type: string - 이름: TLD type: string - 이름: 유효 유형: boolean - 이름: 스킴 type: string - 이름: url type: string 표시자: - url - 이름: 표시 텍스트 type: string - 이름: href URL type: object fields: - 이름: 비밀번호 type: string - 이름: username type: string - 이름: 재작성 type: object fields: - 이름: 인코더 type: array element: type: string - 이름: 원본 type: string 표시자: - url - 이름: 프래그먼트 type: string - 이름: 쿼리 매개변수 type: string - name: path type: string - 이름: domain type: object fields: - 이름: 서브도메인 type: string - 이름: domain type: string - 이름: 루트 도메인 type: string - 이름: SLD type: string - 이름: TLD type: string - 이름: 유효 유형: boolean - 이름: 스킴 type: string - 이름: url type: string 표시자: - url - 이름: HTML type: object fields: - 이름: 콘텐츠 전송 인코딩 type: string - 이름: 문자 집합 type: string - 이름: 표시 텍스트 type: string - 이름: 내부 텍스트 type: string - 이름: raw type: string - 이름: 현재 스레드 type: object fields: - 이름: 텍스트 type: string - 이름: 외부 required: true type: object fields: - 이름: created_at type: timestamp timeFormats: - rfc3339 isEventTime: true - 이름: 메시지 ID type: string - 이름: 라우팅 유형 type: string - 이름: 스팸 유형: boolean - 이름: headers required: true type: object fields: - 이름: X-Sender type: object fields: - 이름: domain type: object fields: - 이름: domain type: string - 이름: 루트 도메인 type: string - 이름: SLD type: string - 이름: TLD type: string - 이름: 유효 유형: boolean - 이름: email type: string 표시자: - 이메일 - 이름: 로컬 파트 type: string - 이름: In-Reply-To type: string 표시자: - 이메일 - 이름: references type: array element: type: string 표시자: - 이메일 - 이름: Reply-To type: array element: type: object fields: - name: display_name type: string - 이름: email type: object fields: - 이름: domain type: object fields: - 이름: 서브도메인 type: string - 이름: domain type: string - 이름: 루트 도메인 type: string - 이름: SLD type: string - 이름: TLD type: string - 이름: 유효 유형: boolean - 이름: email type: string 표시자: - 이메일 - 이름: 로컬 파트 type: string 표시자: - sha256 - 이름: 메일러 type: string - 이름: IP 주소들 type: array element: type: object fields: - 이름: IP type: string 표시자: - ip - 이름: 인증 요약 type: object fields: - 이름: DMARC type: object fields: - 이름: 통과 유형: boolean - 이름: details type: object fields: - 이름: action type: string - 이름: 처리 결과 type: string - 이름: 정책 type: string - 이름: 하위 정책 type: string - 이름: from type: object fields: - 이름: 서브도메인 type: string - 이름: domain type: string - 이름: 루트 도메인 type: string - 이름: SLD type: string - 이름: TLD type: string - 이름: 유효 유형: boolean - 이름: verdict type: string - 이름: 수신 홉 type: bigint - 이름: SPF type: object fields: - 이름: 오류 유형: boolean - 이름: 통과 유형: boolean - 이름: details type: object fields: - 이름: 클라이언트 IP type: object fields: - 이름: IP type: string 표시자: - ip - 이름: 서버 type: object fields: - 이름: domain type: string - 이름: 루트 도메인 type: string - 이름: SLD type: string - 이름: TLD type: string - 이름: 유효 유형: boolean - 이름: description type: string - 이름: 지정자 type: string - 이름: verdict type: string - 이름: 수신 홉 type: bigint - 이름: 전달 대상 type: object fields: - 이름: domain type: object fields: - 이름: domain type: string - 이름: 루트 도메인 type: string - 이름: SLD type: string - 이름: TLD type: string - 이름: 유효 유형: boolean - 이름: email type: string 표시자: - 이메일 - 이름: 로컬 파트 type: string - 이름: 도메인 type: array element: type: object fields: - 이름: 서브도메인 type: string - 이름: domain type: string - 이름: 루트 도메인 type: string - 이름: SLD type: string - 이름: TLD type: string - 이름: 유효 유형: boolean - 이름: Return-Path type: object fields: - 이름: domain type: object fields: - 이름: 서브도메인 type: string - 이름: domain type: string - 이름: 루트 도메인 type: string - 이름: SLD type: string - 이름: TLD type: string - 이름: 유효 유형: boolean - 이름: email type: string 표시자: - 이메일 - 이름: 로컬 파트 type: string - name: date type: timestamp timeFormats: - rfc3339 - 이름: 원본 날짜 오프셋 type: bigint - 이름: 홉 type: array element: type: object fields: - 이름: 수신 SPF type: object fields: - 이름: 클라이언트 IP type: object fields: - 이름: IP type: string 표시자: - ip - 이름: description type: string - 이름: 지정자 type: string - 이름: 서버 type: object fields: - 이름: domain type: string - 이름: 루트 도메인 type: string - 이름: SLD type: string - 이름: TLD type: string - 이름: 유효 유형: boolean - 이름: verdict type: string - 이름: 인증 결과 type: object fields: - 이름: DMARC type: string - 이름: DMARC 세부 정보 type: object fields: - 이름: action type: string - 이름: 처리 결과 type: string - 이름: 정책 type: string - 이름: 하위 정책 type: string - 이름: from type: object fields: - 이름: 서브도메인 type: string - 이름: domain type: string - 이름: 루트 도메인 type: string - 이름: SLD type: string - 이름: TLD type: string - 이름: 유효 유형: boolean - 이름: verdict type: string - 이름: DKIM type: string - 이름: DKIM 세부 정보 type: array element: type: object fields: - 이름: domain type: string - 이름: instance type: string - 이름: selector type: string - 이름: 서명 type: string - 이름: type type: string - 이름: instance type: bigint - 이름: 서버 type: object fields: - 이름: domain type: string - 이름: 루트 도메인 type: string - 이름: SLD type: string - 이름: 서브도메인 type: string - 이름: TLD type: string - 이름: 유효 유형: boolean - 이름: SPF type: string - 이름: SPF 세부 정보 type: object fields: - 이름: 클라이언트 IP type: object fields: - 이름: IP type: string 표시자: - ip - 이름: description type: string - 이름: 지정자 type: string 표시자: - 이메일 - 이름: 서버 type: object fields: - 이름: domain type: string - 이름: 루트 도메인 type: string - 이름: SLD type: string - 이름: TLD type: string - 이름: 유효 유형: boolean - 이름: verdict type: string - 이름: type type: string - 이름: 수신 type: object fields: - 이름: link type: object fields: - 이름: raw type: string - 이름: 메일함 type: object fields: - 이름: raw type: string 표시자: - 이메일 - 이름: 추가 type: object fields: - 이름: raw type: string 표시자: - 이메일 - 이름: source type: object fields: - 이름: raw type: string 표시자: - ip - 이름: id type: object fields: - 이름: raw type: string 표시자: - 이메일 - name: protocol type: object fields: - 이름: raw type: string - 이름: 서버 type: object fields: - 이름: raw type: string 표시자: - ip - 이름: time type: timestamp timeFormats: - rfc3339 - 이름: 시간대 오프셋 type: bigint - 이름: 서명 type: object fields: - 이름: version type: bigint - 이름: instance type: string - 이름: algorithm type: string - 이름: 본문 해시 type: string - 이름: domain type: string - 이름: headers type: string - 이름: selector type: string - 이름: 서명 type: string - 이름: type type: string - 이름: 필드 type: array element: type: object fields: - 이름: name type: string - 이름: 위치 type: bigint - 이름: value type: string 표시자: - 이메일 - ip - 이름: 인덱스 type: bigint - 이름: 메시지 ID type: string 표시자: - 이메일 - 이름: 메일함 required: true type: object fields: - 이름: email type: object fields: - 이름: domain type: object fields: - 이름: domain type: string - 이름: 루트 도메인 type: string - 이름: SLD type: string - 이름: TLD type: string - 이름: 유효 유형: boolean - 이름: email type: string 표시자: - 이메일 - 이름: 로컬 파트 type: string - 이름: 수신자 required: true type: object fields: - 이름: BCC type: array element: type: object fields: - 이름: email type: object fields: - 이름: domain type: object fields: - 이름: domain type: string - 이름: 루트 도메인 type: string - 이름: SLD type: string - 이름: TLD type: string - 이름: 유효 유형: boolean - 이름: email type: string 표시자: - 이메일 - 이름: 로컬 파트 type: string - 이름: CC type: array element: type: object fields: - name: display_name type: string 표시자: - 이메일 - 이름: email type: object fields: - 이름: domain type: object fields: - 이름: domain type: string - 이름: 루트 도메인 type: string - 이름: SLD type: string - 이름: TLD type: string - 이름: 유효 유형: boolean - 이름: email type: string 표시자: - 이메일 - 이름: 로컬 파트 type: string - 이름: to type: array element: type: object fields: - name: display_name type: string 표시자: - 이메일 - 이름: email type: object fields: - 이름: domain type: object fields: - 이름: 서브도메인 type: string - 이름: 루트 도메인 type: string - 이름: SLD type: string - 이름: TLD type: string - 이름: domain type: string - 이름: 유효 유형: boolean - 이름: email type: string 표시자: - 이메일 - 이름: 로컬 파트 type: string 표시자: - sha256 - 이름: 발신자 required: true type: object fields: - name: display_name type: string 표시자: - 이메일 - 이름: email type: object fields: - 이름: domain type: object fields: - 이름: 서브도메인 type: string - 이름: domain type: string - 이름: 루트 도메인 type: string - 이름: SLD type: string - 이름: TLD type: string - 이름: 유효 유형: boolean - 이름: email type: string 표시자: - 이메일 - 이름: 로컬 파트 type: string - 이름: 제목 type: object fields: - 이름: 제목 type: string - 이름: type required: true type: object fields: - 이름: 인바운드 유형: boolean ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/sublime-security.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.