Sublime Security 로그

Sublime Security 로그를 Panther 콘솔에 연결하기

개요

Panther는 다음을 수집하는 것을 지원합니다 서블라임 시큐리티 감사 로그, 룰 일치가 있는 메시지(메시지 이벤트로도 알려짐) 및 메시지 데이터 모델(MDM) 형식의 모든 메시지를 AWS S3를 통해 Panther로 가져옵니다.

Sublime Security 로그를 Panther에 온보딩하는 방법

1단계: Panther에서 Sublime Security 로그 소스 생성

Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.
"Sublime Security"를 검색한 다음 해당 타일을 클릭하세요.
오른쪽 상단의 슬라이드아웃 패널에서 클릭하세요 설정 시작.
다음을 따르세요 S3 소스 구성에 대한 Panther 문서.

2단계: Sublime Security 로그를 S3로 내보내기

로그를 S3 버킷으로 내보내는 방법에 대해서는 Sublime 문서의 지침을 따르세요:
- 메시지 MDM 내보내기
- 감사 로그 및 메시지 이벤트 내보내기
  - 구성할 때 감사 로그 및 메시지 이벤트 내보내기 설정에서 JSON Lines 텍스트 형식 사용 체크박스를 선택하세요.
  - Panther는 다음에 표시된 형식의 로그를 예상합니다 예제 감사 로그 이벤트 이름
    { "events": ..., "count": 0, "start": "2023-05-03T23:55:01.06552Z", "end": "2023-05-04T00:05:00.309749667Z", "key": "sublime_platform_audit_log/2023/05/04/000500Z-LPPJKV.json" }

Panther 관리 디텍션

참조 Panther 관리 Sublime Security용 룰은 panther-analysis GitHub 리포지토리.

지원되는 로그 유형

Sublime.Audit

# Panther가 생성한 코드; 수정하지 마세요. (@generated)
스키마: Sublime.Audit
설명: Sublime의 감사 로그
참고URL: https://docs.sublimesecurity.com/docs/export-audit-logs-and-message-events#example-audit-logs
필드:
  - 이름: created_at
    required: true
    설명: 감사 로그가 생성된 시간.
    type: timestamp
    timeFormats:
      - rfc3339
    isEventTime: true
  - 이름: created_by
    required: true
    설명: 감사 로그를 생성한 사용자.
    type: object
    필드:
      - name: active
        설명: 사용자가 현재 활성 상태인지 여부.
        유형: boolean
      - 이름: created_at
        설명: 사용자가 생성된 시점.
        type: timestamp
        timeFormats:
          - rfc3339
      - name: email_address
        설명: 사용자의 이메일 주소.
        type: string
        지표:
          - 이메일
      - name: first_name
        설명: 사용자의 이름.
        type: string
      - name: google_oauth_user_id
        설명: 사용자의 Google OAuth 사용자 ID.
        type: float
      - 이름: id
        설명: 사용자의 고유한 Sublime ID.
        type: string
      - name: is_enrolled
        설명: 사용자가 등록되었는지 여부.
        유형: boolean
      - name: last_name
        설명: 사용자의 성.
        type: string
      - name: microsoft_oauth_user_id
        설명: 사용자의 Microsoft OAuth 사용자 ID.
        type: string
      - name: role
        설명: 사용자에게 할당된 역할.
        type: string
      - 이름: updated_at
        설명: 사용자가 마지막으로 업데이트된 시간.
        type: timestamp
        timeFormats:
          - rfc3339
    지표:
      - 이메일
  - name: data
    required: true
    설명: 발생한 활동의 세부 사항.
    type: object
    필드:
      - name: message
        설명: 고유한 메시지 ID.
        type: object
        필드:
          - 이름: external_id
            설명: 외부 ID.
            type: string
          - 이름: id
            설명: 고유한 메시지 ID.
            type: string
      - name: message_group
        설명: 메시지 그룹의 SHA256 해시.
        type: object
        필드:
          - 이름: id
            설명: 메시지 그룹의 SHA256 해시.
            type: string
            지표:
              - sha256
      - name: request
        required: true
        설명: 수행된 요청에 대한 세부 정보.
        type: object
        필드:
          - name: query
            설명: 수행된 쿼리의 매개변수.
            type: object
            필드:
              - name: attachment_md5
                설명: 첨부 파일의 MD5 해시를 지정합니다.
                type: string
              - name: attachment_sha1
                설명: 첨부 파일의 SHA1 해시를 지정합니다.
                type: string
              - name: attachment_sha256
                설명: 첨부 파일의 SHA256 해시를 지정합니다.
                type: string
              - name: created_at[gte]
                설명: 이 시간 이후에 생성된 결과만 반환하도록 지정합니다.
                type: timestamp
                timeFormats:
                  - rfc3339
              - name: created_at[lte]
                설명: 이 시간 이전에 생성된 결과만 반환하도록 지정합니다.
                type: timestamp
                timeFormats:
                  - rfc3339
              - name: fetch_all_ids
                설명: 모든 ID를 가져올지 여부를 지정합니다.
                유형: boolean
              - name: file_name
                설명: 반환할 결과의 파일 이름을 지정합니다.
                type: string
              - name: from
                설명: 반환할 발신 이메일 주소를 지정합니다.
                type: string
                지표:
                  - 이메일
              - name: limit
                설명: 반환할 최대 결과 수를 지정합니다.
                type: bigint
              - name: mailbox
                설명: 결과를 반환할 메일함을 지정합니다.
                type: string
              - name: message_id
                설명: 반환할 메시지 ID를 지정합니다.
                type: string
              - name: offset
                설명: 반환할 결과의 오프셋을 지정합니다.
                type: bigint
              - name: subject
                설명: 반환할 이메일 제목 줄을 지정합니다.
                type: string
              - name: to
                설명: 반환할 수신자 이메일 주소를 지정합니다.
                type: string
              - name: limit_size
                설명: 크기 제한 여부를 지정합니다.
                유형: boolean
          - name: authentication_method
            설명: 사용자가 인증된 방법.
            type: string
          - name: body
            설명: 요청의 본문.
            type: string
          - 이름: id
            required: true
            설명: 수행 중인 요청의 고유 ID.
            type: string
          - 이름: ip
            설명: 요청이 발생한 IP 주소.
            type: string
            지표:
              - ip
          - name: method
            설명: 요청의 HTTP 메서드.
            type: string
          - name: path
            설명: 요청의 URL 경로.
            type: string
          - name: user_agent
            설명: 요청을 수행하는 사용자 에이전트.
            type: string
  - 이름: id
    설명: 감사 로그의 고유 ID.
    type: string
  - 이름: type
    설명: 기록된 활동의 유형.
    type: string

Sublime.MessageEvent

# Panther가 생성한 코드; 수정하지 마세요. (@generated)
스키마: Sublime.MessageEvent
설명: Sublime의 메시지 이벤트
참고URL: https://docs.sublimesecurity.com/docs/export-audit-logs-and-message-events#example-message-events
필드:
  - 이름: created_at
    required: true
    설명: 플래그된 메시지 이벤트의 타임스탬프.
    type: timestamp
    timeFormats:
      - rfc3339
    isEventTime: true
  - name: data
    required: true
    설명: 플래그된 메시지 이벤트에 대한 추가 정보.
    type: object
    필드:
      - name: flagged_rules
        required: true
        설명: 플래그된 룰 목록.
        type: array
        element:
          type: object
          필드:
            - name: attack_types
              설명: 룰이 탐지한 공격 유형.
              type: array
              element:
                type: string
            - name: detection_methods
              설명: 룰이 문제를 탐지한 방법.
              type: array
              element:
                type: string
            - 이름: id
              설명: 플래그된 룰의 ID.
              type: string
            - name: label
              설명: 플래그된 룰의 라벨.
              type: string
            - 이름: name
              설명: 플래그된 룰의 이름.
              type: string
            - 이름: severity
              설명: 룰 소견의 심각도.
              type: string
            allowContains: ["critical", "warning"]
              설명: 플래그된 룰의 태그들.
              type: array
              element:
                type: string
            - name: tactics_and_techniques
              설명: 이 룰 소견에 매핑된 전술 및 기술.
              type: array
              element:
                type: string
      - name: message
        설명: 플래그된 룰과 관련된 엔터티의 고유 식별자.
        type: object
        필드:
          - name: canonical_id
            설명: Canonical ID로, SHA256 해시입니다.
            type: string
            지표:
              - sha256
          - 이름: external_id
            설명: 메시지의 외부 ID.
            type: string
          - 이름: id
            설명: 메시지의 ID.
            type: string
          - name: landed_in_spam
            설명: 메시지가 스팸 인박스로 들어갔는지 여부.
            유형: boolean
          - name: mailbox
            설명: 메시지가 온 메일박스의 ID.
            type: object
            필드:
              - 이름: external_id
                설명: 외부 ID.
                type: string
              - 이름: id
                설명: 고유한 메시지 ID.
                type: string
          - name: message_source_id
            설명: 메시지 소스의 ID.
            type: string
      - name: triggered_actions
        설명: 플래그된 룰에 의해 트리거된 액션들
        유형: json
  - 이름: type
    required: true
    설명: 플래그된 메시지의 유형.
    type: string

Sublime.MDM

# Panther가 생성한 코드; 수정하지 마세요. (@generated)
스키마: Sublime.MDM
설명: Sublime의 메시지 데이터 모델 로그
참고URL: https://docs.sublimesecurity.com/docs/mdm
필드:
    - name: _errors
      type: array
      element:
        type: object
        필드:
            - name: field
              type: string
            - name: message
              type: string
            - 이름: type
              type: string
    - name: _meta
      required: true
      type: object
      필드:
        - name: canonical_id
          type: string
          지표:
            - sha256
        - 이름: created_at
          type: timestamp
          timeFormats:
            - rfc3339
        - name: effective_at
          type: timestamp
          timeFormats:
            - rfc3339
        - 이름: id
          type: string
    - name: attachments
      type: array
      element:
        type: object
        필드:
            - name: content_id
              type: string
            - name: content_transfer_encoding
              type: string
            - name: content_type
              type: string
            - name: file_extension
              type: string
            - name: file_name
              type: string
            - name: file_type
              type: string
            - name: md5
              type: string
            - name: raw
              type: string
            - name: sha1
              type: string
              지표:
                - sha1
            - name: sha256
              type: string
              지표:
                - sha256
            - name: size
              type: bigint
    - name: body
      type: object
      필드:
        - name: ips
          type: array
          element:
            type: object
            필드:
                - 이름: ip
                  type: string
                  지표:
                    - ip
        - name: plain
          type: object
          필드:
            - name: content_transfer_encoding
              type: string
            - name: charset
              type: string
            - name: raw
              type: string
        - name: links
          type: array
          element:
            type: object
            필드:
                - name: mismatched
                  유형: boolean
                - name: display_url
                  type: object
                  필드:
                    - name: password
                      type: string
                    - name: fragment
                      type: string
                    - 이름: username
                      type: string
                      지표:
                        - username
                    - name: query_params
                      type: string
                    - name: path
                      type: string
                    - name: domain
                      type: object
                      필드:
                        - name: subdomain
                          type: string
                        - name: domain
                          type: string
                        - name: root_domain
                          type: string
                        - name: sld
                          type: string
                        - name: tld
                          type: string
                        - name: valid
                          유형: boolean
                    - name: scheme
                      type: string
                    - name: url
                      type: string
                      지표:
                        - url
                - name: display_text
                  type: string
                - name: href_url
                  type: object
                  필드:
                    - name: password
                      type: string
                    - 이름: username
                      type: string
                    - name: rewrite
                      type: object
                      필드:
                        - name: encoders
                          type: array
                          element:
                            type: string
                        - name: original
                          type: string
                          지표:
                            - url
                    - name: fragment
                      type: string
                    - name: query_params
                      type: string
                    - name: path
                      type: string
                    - name: domain
                      type: object
                      필드:
                        - name: subdomain
                          type: string
                        - name: domain
                          type: string
                        - name: root_domain
                          type: string
                        - name: sld
                          type: string
                        - name: tld
                          type: string
                        - name: valid
                          유형: boolean
                    - name: scheme
                      type: string
                    - name: url
                      type: string
                      지표:
                        - url
        - name: html
          type: object
          필드:
            - name: content_transfer_encoding
              type: string
            - name: charset
              type: string
            - name: display_text
              type: string
            - name: inner_text
              type: string
            - name: raw
              type: string
        - name: current_thread
          type: object
          필드:
            - name: text
              type: string
    - name: external
      required: true
      type: object
      필드:
        - 이름: created_at
          type: timestamp
          timeFormats:
            - rfc3339
          isEventTime: true
        - name: message_id
          type: string
        - name: route_type
          type: string
        - name: spam
          유형: boolean
    - 이름: headers
      required: true
      type: object
      필드:
        - name: x_sender
          type: object
          필드:
            - name: domain
              type: object
              필드:
                - name: domain
                  type: string
                - name: root_domain
                  type: string
                - name: sld
                  type: string
                - name: tld
                  type: string
                - name: valid
                  유형: boolean
            - 이름: email
              type: string
              지표:
                - 이메일
            - name: local_part
              type: string
        - name: in_reply_to
          type: string
          지표:
            - 이메일
        - name: references
          type: array
          element:
            type: string
            지표:
                - 이메일
        - name: reply_to
          type: array
          element:
            type: object
            필드:
                - 이름: display_name
                  type: string
                - 이름: email
                  type: object
                  필드:
                    - name: domain
                      type: object
                      필드:
                        - name: subdomain
                          type: string
                        - name: domain
                          type: string
                        - name: root_domain
                          type: string
                        - name: sld
                          type: string
                        - name: tld
                          type: string
                        - name: valid
                          유형: boolean
                    - 이름: email
                      type: string
                      지표:
                        - 이메일
                    - name: local_part
                      type: string
                      지표:
                        - sha256
        - name: mailer
          type: string
        - name: ips
          type: array
          element:
            type: object
            필드:
                - 이름: ip
                  type: string
                  지표:
                    - ip
        - name: auth_summary
          type: object
          필드:
            - name: dmarc
              type: object
              필드:
                - name: pass
                  유형: boolean
                - 이름: details
                  type: object
                  필드:
                    - 이름: action
                      type: string
                    - name: disposition
                      type: string
                    - name: policy
                      type: string
                    - name: sub_policy
                      type: string
                    - name: from
                      type: object
                      필드:
                        - name: subdomain
                          type: string
                        - name: domain
                          type: string
                        - name: root_domain
                          type: string
                        - name: sld
                          type: string
                        - name: tld
                          type: string
                        - name: valid
                          유형: boolean
                    - name: verdict
                      type: string
                - name: received_hop
                  type: bigint
            - name: spf
              type: object
              필드:
                - name: error
                  유형: boolean
                - name: pass
                  유형: boolean
                - 이름: details
                  type: object
                  필드:
                    - name: client_ip
                      type: object
                      필드:
                        - 이름: ip
                          type: string
                          지표:
                            - ip
                    - name: server
                      type: object
                      필드:
                        - name: domain
                          type: string
                        - name: root_domain
                          type: string
                        - name: sld
                          type: string
                        - name: tld
                          type: string
                        - name: valid
                          유형: boolean
                    - 이름: description
                      type: string
                    - name: designator
                      type: string
                    - name: verdict
                      type: string
                - name: received_hop
                  type: bigint
        - name: delivered_to
          type: object
          필드:
            - name: domain
              type: object
              필드:
                - name: domain
                  type: string
                - name: root_domain
                  type: string
                - name: sld
                  type: string
                - name: tld
                  type: string
                - name: valid
                  유형: boolean
            - 이름: email
              type: string
              지표:
                - 이메일
            - name: local_part
              type: string
        - name: domains
          type: array
          element:
            type: object
            필드:
                - name: subdomain
                  type: string
                - name: domain
                  type: string
                - name: root_domain
                  type: string
                - name: sld
                  type: string
                - name: tld
                  type: string
                - name: valid
                  유형: boolean
        - name: return_path
          type: object
          필드:
            - name: domain
              type: object
              필드:
                - name: subdomain
                  type: string
                - name: domain
                  type: string
                - name: root_domain
                  type: string
                - name: sld
                  type: string
                - name: tld
                  type: string
                - name: valid
                  유형: boolean
            - 이름: email
              type: string
              지표:
                - 이메일
            - name: local_part
              type: string
        - 이름: date
          type: timestamp
          timeFormats:
            - rfc3339
        - name: date_original_offset
          type: bigint
        - name: hops
          type: array
          element:
            type: object
            필드:
                - name: received_spf
                  type: object
                  필드:
                    - name: client_ip
                      type: object
                      필드:
                        - 이름: ip
                          type: string
                          지표:
                            - ip
                    - 이름: description
                      type: string
                    - name: designator
                      type: string
                    - name: server
                      type: object
                      필드:
                        - name: domain
                          type: string
                        - name: root_domain
                          type: string
                        - name: sld
                          type: string
                        - name: tld
                          type: string
                        - name: valid
                          유형: boolean
                    - name: verdict
                      type: string
                - name: authentication_results
                  type: object
                  필드:
                    - name: dmarc
                      type: string
                    - name: dmarc_details
                      type: object
                      필드:
                        - 이름: action
                          type: string
                        - name: disposition
                          type: string
                        - name: policy
                          type: string
                        - name: sub_policy
                          type: string
                        - name: from
                          type: object
                          필드:
                            - name: subdomain
                              type: string
                            - name: domain
                              type: string
                            - name: root_domain
                              type: string
                            - name: sld
                              type: string
                            - name: tld
                              type: string
                            - name: valid
                              유형: boolean
                        - name: verdict
                          type: string
                    - name: dkim
                      type: string
                    - name: dkim_details
                      type: array
                      element:
                        type: object
                        필드:
                            - name: domain
                              type: string
                            - 이름: instance
                              type: string
                            - name: selector
                              type: string
                            - name: signature
                              type: string
                            - 이름: type
                              type: string
                    - 이름: instance
                      type: bigint
                    - name: server
                      type: object
                      필드:
                        - name: domain
                          type: string
                        - name: root_domain
                          type: string
                        - name: sld
                          type: string
                        - name: subdomain
                          type: string
                        - name: tld
                          type: string
                        - name: valid
                          유형: boolean
                    - name: spf
                      type: string
                    - name: spf_details
                      type: object
                      필드:
                        - name: client_ip
                          type: object
                          필드:
                            - 이름: ip
                              type: string
                              지표:
                                - ip
                        - 이름: description
                          type: string
                        - name: designator
                          type: string
                          지표:
                            - 이메일
                        - name: server
                          type: object
                          필드:
                            - name: domain
                              type: string
                            - name: root_domain
                              type: string
                            - name: sld
                              type: string
                            - name: tld
                              type: string
                            - name: valid
                              유형: boolean
                        - name: verdict
                          type: string
                    - 이름: type
                      type: string
                - name: received
                  type: object
                  필드:
                    - 이름: link
                      type: object
                      필드:
                        - name: raw
                          type: string
                    - name: mailbox
                      type: object
                      필드:
                        - name: raw
                          type: string
                          지표:
                            - 이메일
                    - name: additional
                      type: object
                      필드:
                        - name: raw
                          type: string
                          지표:
                            - 이메일
                    - name: source
                      type: object
                      필드:
                        - name: raw
                          type: string
                          지표:
                            - ip
                    - 이름: id
                      type: object
                      필드:
                        - name: raw
                          type: string
                          지표:
                            - 이메일
                    - 이름: protocol
                      type: object
                      필드:
                        - name: raw
                          type: string
                    - name: server
                      type: object
                      필드:
                        - name: raw
                          type: string
                          지표:
                            - ip
                    - 이름: time
                      type: timestamp
                      timeFormats:
                        - rfc3339
                    - name: zone_offset
                      type: bigint
                - name: signature
                  type: object
                  필드:
                    - name: version
                      type: bigint
                    - 이름: instance
                      type: string
                    - name: algorithm
                      type: string
                    - name: body_hash
                      type: string
                    - name: domain
                      type: string
                    - 이름: headers
                      type: string
                    - name: selector
                      type: string
                    - name: signature
                      type: string
                    - 이름: type
                      type: string
                - name: fields
                  type: array
                  element:
                    type: object
                    필드:
                        - 이름: name
                          type: string
                        - name: position
                          type: bigint
                        - 이름: value
                          type: string
                          지표:
                            - 이메일
                            - ip
                - name: index
                  type: bigint
        - name: message_id
          type: string
          지표:
            - 이메일
    - name: mailbox
      required: true
      type: object
      필드:
        - 이름: email
          type: object
          필드:
            - name: domain
              type: object
              필드:
                - name: domain
                  type: string
                - name: root_domain
                  type: string
                - name: sld
                  type: string
                - name: tld
                  type: string
                - name: valid
                  유형: boolean
            - 이름: email
              type: string
              지표:
                - 이메일
            - name: local_part
              type: string
    - name: recipients
      required: true
      type: object
      필드:
        - name: bcc
          type: array
          element:
            type: object
            필드:
                - 이름: email
                  type: object
                  필드:
                    - name: domain
                      type: object
                      필드:
                        - name: domain
                          type: string
                        - name: root_domain
                          type: string
                        - name: sld
                          type: string
                        - name: tld
                          type: string
                        - name: valid
                          유형: boolean
                    - 이름: email
                      type: string
                      지표:
                        - 이메일
                    - name: local_part
                      type: string
        - name: cc
          type: array
          element:
            type: object
            필드:
                - 이름: display_name
                  type: string
                  지표:
                    - 이메일
                - 이름: email
                  type: object
                  필드:
                    - name: domain
                      type: object
                      필드:
                        - name: domain
                          type: string
                        - name: root_domain
                          type: string
                        - name: sld
                          type: string
                        - name: tld
                          type: string
                        - name: valid
                          유형: boolean
                    - 이름: email
                      type: string
                      지표:
                        - 이메일
                    - name: local_part
                      type: string
        - name: to
          type: array
          element:
            type: object
            필드:
                - 이름: display_name
                  type: string
                  지표:
                    - 이메일
                - 이름: email
                  type: object
                  필드:
                    - name: domain
                      type: object
                      필드:
                        - name: subdomain
                          type: string
                        - name: root_domain
                          type: string
                        - name: sld
                          type: string
                        - name: tld
                          type: string
                        - name: domain
                          type: string
                        - name: valid
                          유형: boolean
                    - 이름: email
                      type: string
                      지표:
                        - 이메일
                    - name: local_part
                      type: string
                      지표:
                        - sha256
    - name: sender
      required: true
      type: object
      필드:
        - 이름: display_name
          type: string
          지표:
            - 이메일
        - 이름: email
          type: object
          필드:
            - name: domain
              type: object
              필드:
                - name: subdomain
                  type: string
                - name: domain
                  type: string
                - name: root_domain
                  type: string
                - name: sld
                  type: string
                - name: tld
                  type: string
                - name: valid
                  유형: boolean
            - 이름: email
              type: string
              지표:
                - 이메일
            - name: local_part
              type: string
    - name: subject
      type: object
      필드:
        - name: subject
          type: string
    - 이름: type
      required: true
      type: object
      필드:
        - name: inbound
          유형: boolean

이전Sophos 로그 다음Suricata 로그

마지막 업데이트 28일 전

도움이 되었나요?

# Panther가 생성한 코드; 수정하지 마세요. (@generated) 스키마: Sublime.Audit 설명: Sublime의 감사 로그 참고URL: https://docs.sublimesecurity.com/docs/export-audit-logs-and-message-events#example-audit-logs 필드: - 이름: created_at required: true 설명: 감사 로그가 생성된 시간. type: timestamp timeFormats: - rfc3339 isEventTime: true - 이름: created_by required: true 설명: 감사 로그를 생성한 사용자. type: object 필드: - name: active 설명: 사용자가 현재 활성 상태인지 여부. 유형: boolean - 이름: created_at 설명: 사용자가 생성된 시점. type: timestamp timeFormats: - rfc3339 - name: email_address 설명: 사용자의 이메일 주소. type: string 지표: - 이메일 - name: first_name 설명: 사용자의 이름. type: string - name: google_oauth_user_id 설명: 사용자의 Google OAuth 사용자 ID. type: float - 이름: id 설명: 사용자의 고유한 Sublime ID. type: string - name: is_enrolled 설명: 사용자가 등록되었는지 여부. 유형: boolean - name: last_name 설명: 사용자의 성. type: string - name: microsoft_oauth_user_id 설명: 사용자의 Microsoft OAuth 사용자 ID. type: string - name: role 설명: 사용자에게 할당된 역할. type: string - 이름: updated_at 설명: 사용자가 마지막으로 업데이트된 시간. type: timestamp timeFormats: - rfc3339 지표: - 이메일 - name: data required: true 설명: 발생한 활동의 세부 사항. type: object 필드: - name: message 설명: 고유한 메시지 ID. type: object 필드: - 이름: external_id 설명: 외부 ID. type: string - 이름: id 설명: 고유한 메시지 ID. type: string - name: message_group 설명: 메시지 그룹의 SHA256 해시. type: object 필드: - 이름: id 설명: 메시지 그룹의 SHA256 해시. type: string 지표: - sha256 - name: request required: true 설명: 수행된 요청에 대한 세부 정보. type: object 필드: - name: query 설명: 수행된 쿼리의 매개변수. type: object 필드: - name: attachment_md5 설명: 첨부 파일의 MD5 해시를 지정합니다. type: string - name: attachment_sha1 설명: 첨부 파일의 SHA1 해시를 지정합니다. type: string - name: attachment_sha256 설명: 첨부 파일의 SHA256 해시를 지정합니다. type: string - name: created_at[gte] 설명: 이 시간 이후에 생성된 결과만 반환하도록 지정합니다. type: timestamp timeFormats: - rfc3339 - name: created_at[lte] 설명: 이 시간 이전에 생성된 결과만 반환하도록 지정합니다. type: timestamp timeFormats: - rfc3339 - name: fetch_all_ids 설명: 모든 ID를 가져올지 여부를 지정합니다. 유형: boolean - name: file_name 설명: 반환할 결과의 파일 이름을 지정합니다. type: string - name: from 설명: 반환할 발신 이메일 주소를 지정합니다. type: string 지표: - 이메일 - name: limit 설명: 반환할 최대 결과 수를 지정합니다. type: bigint - name: mailbox 설명: 결과를 반환할 메일함을 지정합니다. type: string - name: message_id 설명: 반환할 메시지 ID를 지정합니다. type: string - name: offset 설명: 반환할 결과의 오프셋을 지정합니다. type: bigint - name: subject 설명: 반환할 이메일 제목 줄을 지정합니다. type: string - name: to 설명: 반환할 수신자 이메일 주소를 지정합니다. type: string - name: limit_size 설명: 크기 제한 여부를 지정합니다. 유형: boolean - name: authentication_method 설명: 사용자가 인증된 방법. type: string - name: body 설명: 요청의 본문. type: string - 이름: id required: true 설명: 수행 중인 요청의 고유 ID. type: string - 이름: ip 설명: 요청이 발생한 IP 주소. type: string 지표: - ip - name: method 설명: 요청의 HTTP 메서드. type: string - name: path 설명: 요청의 URL 경로. type: string - name: user_agent 설명: 요청을 수행하는 사용자 에이전트. type: string - 이름: id 설명: 감사 로그의 고유 ID. type: string - 이름: type 설명: 기록된 활동의 유형. type: string

# Panther가 생성한 코드; 수정하지 마세요. (@generated) 스키마: Sublime.MessageEvent 설명: Sublime의 메시지 이벤트 참고URL: https://docs.sublimesecurity.com/docs/export-audit-logs-and-message-events#example-message-events 필드: - 이름: created_at required: true 설명: 플래그된 메시지 이벤트의 타임스탬프. type: timestamp timeFormats: - rfc3339 isEventTime: true - name: data required: true 설명: 플래그된 메시지 이벤트에 대한 추가 정보. type: object 필드: - name: flagged_rules required: true 설명: 플래그된 룰 목록. type: array element: type: object 필드: - name: attack_types 설명: 룰이 탐지한 공격 유형. type: array element: type: string - name: detection_methods 설명: 룰이 문제를 탐지한 방법. type: array element: type: string - 이름: id 설명: 플래그된 룰의 ID. type: string - name: label 설명: 플래그된 룰의 라벨. type: string - 이름: name 설명: 플래그된 룰의 이름. type: string - 이름: severity 설명: 룰 소견의 심각도. type: string allowContains: ["critical", "warning"] 설명: 플래그된 룰의 태그들. type: array element: type: string - name: tactics_and_techniques 설명: 이 룰 소견에 매핑된 전술 및 기술. type: array element: type: string - name: message 설명: 플래그된 룰과 관련된 엔터티의 고유 식별자. type: object 필드: - name: canonical_id 설명: Canonical ID로, SHA256 해시입니다. type: string 지표: - sha256 - 이름: external_id 설명: 메시지의 외부 ID. type: string - 이름: id 설명: 메시지의 ID. type: string - name: landed_in_spam 설명: 메시지가 스팸 인박스로 들어갔는지 여부. 유형: boolean - name: mailbox 설명: 메시지가 온 메일박스의 ID. type: object 필드: - 이름: external_id 설명: 외부 ID. type: string - 이름: id 설명: 고유한 메시지 ID. type: string - name: message_source_id 설명: 메시지 소스의 ID. type: string - name: triggered_actions 설명: 플래그된 룰에 의해 트리거된 액션들 유형: json - 이름: type required: true 설명: 플래그된 메시지의 유형. type: string

# Panther가 생성한 코드; 수정하지 마세요. (@generated) 스키마: Sublime.MDM 설명: Sublime의 메시지 데이터 모델 로그 참고URL: https://docs.sublimesecurity.com/docs/mdm 필드: - name: _errors type: array element: type: object 필드: - name: field type: string - name: message type: string - 이름: type type: string - name: _meta required: true type: object 필드: - name: canonical_id type: string 지표: - sha256 - 이름: created_at type: timestamp timeFormats: - rfc3339 - name: effective_at type: timestamp timeFormats: - rfc3339 - 이름: id type: string - name: attachments type: array element: type: object 필드: - name: content_id type: string - name: content_transfer_encoding type: string - name: content_type type: string - name: file_extension type: string - name: file_name type: string - name: file_type type: string - name: md5 type: string - name: raw type: string - name: sha1 type: string 지표: - sha1 - name: sha256 type: string 지표: - sha256 - name: size type: bigint - name: body type: object 필드: - name: ips type: array element: type: object 필드: - 이름: ip type: string 지표: - ip - name: plain type: object 필드: - name: content_transfer_encoding type: string - name: charset type: string - name: raw type: string - name: links type: array element: type: object 필드: - name: mismatched 유형: boolean - name: display_url type: object 필드: - name: password type: string - name: fragment type: string - 이름: username type: string 지표: - username - name: query_params type: string - name: path type: string - name: domain type: object 필드: - name: subdomain type: string - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - name: scheme type: string - name: url type: string 지표: - url - name: display_text type: string - name: href_url type: object 필드: - name: password type: string - 이름: username type: string - name: rewrite type: object 필드: - name: encoders type: array element: type: string - name: original type: string 지표: - url - name: fragment type: string - name: query_params type: string - name: path type: string - name: domain type: object 필드: - name: subdomain type: string - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - name: scheme type: string - name: url type: string 지표: - url - name: html type: object 필드: - name: content_transfer_encoding type: string - name: charset type: string - name: display_text type: string - name: inner_text type: string - name: raw type: string - name: current_thread type: object 필드: - name: text type: string - name: external required: true type: object 필드: - 이름: created_at type: timestamp timeFormats: - rfc3339 isEventTime: true - name: message_id type: string - name: route_type type: string - name: spam 유형: boolean - 이름: headers required: true type: object 필드: - name: x_sender type: object 필드: - name: domain type: object 필드: - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - 이름: email type: string 지표: - 이메일 - name: local_part type: string - name: in_reply_to type: string 지표: - 이메일 - name: references type: array element: type: string 지표: - 이메일 - name: reply_to type: array element: type: object 필드: - 이름: display_name type: string - 이름: email type: object 필드: - name: domain type: object 필드: - name: subdomain type: string - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - 이름: email type: string 지표: - 이메일 - name: local_part type: string 지표: - sha256 - name: mailer type: string - name: ips type: array element: type: object 필드: - 이름: ip type: string 지표: - ip - name: auth_summary type: object 필드: - name: dmarc type: object 필드: - name: pass 유형: boolean - 이름: details type: object 필드: - 이름: action type: string - name: disposition type: string - name: policy type: string - name: sub_policy type: string - name: from type: object 필드: - name: subdomain type: string - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - name: verdict type: string - name: received_hop type: bigint - name: spf type: object 필드: - name: error 유형: boolean - name: pass 유형: boolean - 이름: details type: object 필드: - name: client_ip type: object 필드: - 이름: ip type: string 지표: - ip - name: server type: object 필드: - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - 이름: description type: string - name: designator type: string - name: verdict type: string - name: received_hop type: bigint - name: delivered_to type: object 필드: - name: domain type: object 필드: - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - 이름: email type: string 지표: - 이메일 - name: local_part type: string - name: domains type: array element: type: object 필드: - name: subdomain type: string - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - name: return_path type: object 필드: - name: domain type: object 필드: - name: subdomain type: string - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - 이름: email type: string 지표: - 이메일 - name: local_part type: string - 이름: date type: timestamp timeFormats: - rfc3339 - name: date_original_offset type: bigint - name: hops type: array element: type: object 필드: - name: received_spf type: object 필드: - name: client_ip type: object 필드: - 이름: ip type: string 지표: - ip - 이름: description type: string - name: designator type: string - name: server type: object 필드: - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - name: verdict type: string - name: authentication_results type: object 필드: - name: dmarc type: string - name: dmarc_details type: object 필드: - 이름: action type: string - name: disposition type: string - name: policy type: string - name: sub_policy type: string - name: from type: object 필드: - name: subdomain type: string - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - name: verdict type: string - name: dkim type: string - name: dkim_details type: array element: type: object 필드: - name: domain type: string - 이름: instance type: string - name: selector type: string - name: signature type: string - 이름: type type: string - 이름: instance type: bigint - name: server type: object 필드: - name: domain type: string - name: root_domain type: string - name: sld type: string - name: subdomain type: string - name: tld type: string - name: valid 유형: boolean - name: spf type: string - name: spf_details type: object 필드: - name: client_ip type: object 필드: - 이름: ip type: string 지표: - ip - 이름: description type: string - name: designator type: string 지표: - 이메일 - name: server type: object 필드: - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - name: verdict type: string - 이름: type type: string - name: received type: object 필드: - 이름: link type: object 필드: - name: raw type: string - name: mailbox type: object 필드: - name: raw type: string 지표: - 이메일 - name: additional type: object 필드: - name: raw type: string 지표: - 이메일 - name: source type: object 필드: - name: raw type: string 지표: - ip - 이름: id type: object 필드: - name: raw type: string 지표: - 이메일 - 이름: protocol type: object 필드: - name: raw type: string - name: server type: object 필드: - name: raw type: string 지표: - ip - 이름: time type: timestamp timeFormats: - rfc3339 - name: zone_offset type: bigint - name: signature type: object 필드: - name: version type: bigint - 이름: instance type: string - name: algorithm type: string - name: body_hash type: string - name: domain type: string - 이름: headers type: string - name: selector type: string - name: signature type: string - 이름: type type: string - name: fields type: array element: type: object 필드: - 이름: name type: string - name: position type: bigint - 이름: value type: string 지표: - 이메일 - ip - name: index type: bigint - name: message_id type: string 지표: - 이메일 - name: mailbox required: true type: object 필드: - 이름: email type: object 필드: - name: domain type: object 필드: - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - 이름: email type: string 지표: - 이메일 - name: local_part type: string - name: recipients required: true type: object 필드: - name: bcc type: array element: type: object 필드: - 이름: email type: object 필드: - name: domain type: object 필드: - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - 이름: email type: string 지표: - 이메일 - name: local_part type: string - name: cc type: array element: type: object 필드: - 이름: display_name type: string 지표: - 이메일 - 이름: email type: object 필드: - name: domain type: object 필드: - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - 이름: email type: string 지표: - 이메일 - name: local_part type: string - name: to type: array element: type: object 필드: - 이름: display_name type: string 지표: - 이메일 - 이름: email type: object 필드: - name: domain type: object 필드: - name: subdomain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: domain type: string - name: valid 유형: boolean - 이름: email type: string 지표: - 이메일 - name: local_part type: string 지표: - sha256 - name: sender required: true type: object 필드: - 이름: display_name type: string 지표: - 이메일 - 이름: email type: object 필드: - name: domain type: object 필드: - name: subdomain type: string - name: domain type: string - name: root_domain type: string - name: sld type: string - name: tld type: string - name: valid 유형: boolean - 이름: email type: string 지표: - 이메일 - name: local_part type: string - name: subject type: object 필드: - name: subject type: string - 이름: type required: true type: object 필드: - name: inbound 유형: boolean

hashtag개요

hashtagSublime Security 로그를 Panther에 온보딩하는 방법

hashtag1단계: Panther에서 Sublime Security 로그 소스 생성

hashtag2단계: Sublime Security 로그를 S3로 내보내기

hashtagPanther 관리 디텍션

hashtag지원되는 로그 유형

hashtagSublime.Audit

hashtagSublime.MessageEvent

hashtagSublime.MDM

개요