# Sublime Security 로그 ## 개요 Panther는 수집을 지원합니다 [Sublime Security](https://sublime.security/) 감사 로그, 룰 일치가 있는 메시지(메시지 이벤트라고도 함), 그리고 Message Data Model(MDM) 형식의 모든 메시지를 AWS S3를 통해 Panther로 가져오는 것을 지원합니다. ## Sublime Security 로그를 Panther에 온보딩하는 방법 ### 1단계: Panther에 Sublime Security 로그 소스 만들기 1. 왼쪽 탐색 모음에서 Panther Console의 **구성** > **로그 소스**. 2. 을 클릭합니다 **새로 만들기**. 3. "Sublime Security"를 검색한 다음 해당 타일을 클릭합니다. 4. 슬라이드아웃 패널의 오른쪽 상단에서 **설정 시작**.\ ![A page titled "Sublime Security" is shown. An arrow is drawn to the upper-right corner, to a button labeled "Start Setup."](/files/43272280919f85e1b14fab4bd1bb2e916c916a82) 5. 다음을 따르세요 [S3 Source를 구성하는 방법에 대한 Panther의 문서](/ko/data-onboarding/data-transports/aws/s3.md). ### 2단계: Sublime Security 로그를 S3로 내보내기 * Sublime 문서의 지침에 따라 로그를 S3 버킷으로 내보내는 방법을 따르세요: * [메시지 MDM 내보내기](https://docs.sublime.security/docs/export-message-mdms) * [감사 로그 및 메시지 이벤트 내보내기](https://docs.sublime.security/docs/export-audit-logs-and-message-events) * 다음을 구성할 때 **감사 로그 및 메시지 이벤트 내보내기** 설정에서 다음 항목을 체크하지 않았는지 확인하세요. **JSON Lines 텍스트 형식 사용** 확인란. * Panther는 로그가 다음에 표시된 형식이기를 अपे합니다. [감사 로그 예시](https://docs.sublime.security/docs/export-audit-logs-and-message-events#example-audit-logs) 섹션: ```json { "events": ..., "count": 0, "start": "2023-05-03T23:55:01.06552Z", "end": "2023-05-04T00:05:00.309749667Z", "key": "sublime_platform_audit_log/2023/05/04/000500Z-LPPJKV.json" } ``` ## Panther가 관리하는 탐지 다음을 참조하세요 [Panther가 관리하는](/ko/detections/panther-managed.md) Sublime Security용 룰을 [panther-analysis GitHub 저장소에서](https://github.com/panther-labs/panther-analysis/tree/main/rules/sublime_rules). ## 지원되는 로그 유형 ### Sublime.Audit ```yaml # Panther가 생성한 코드입니다; 편집하지 마세요. (@generated) schema: Sublime.Audit description: Sublime의 감사 로그 referenceURL: https://docs.sublimesecurity.com/docs/export-audit-logs-and-message-events#example-audit-logs fields: - name: created_at required: true description: 감사 로그가 생성된 시간입니다. type: timestamp timeFormats: - rfc3339 isEventTime: true - name: created_by required: true description: 감사 로그를 생성한 사용자입니다. type: object fields: - name: active description: 사용자가 현재 활성 상태인지 여부입니다. type: boolean - name: created_at description: 사용자가 생성된 시점입니다. type: timestamp timeFormats: - rfc3339 - name: email_address description: 사용자의 이메일 주소입니다. type: string indicators: - email - name: first_name description: 사용자의 이름.' type: string - name: google_oauth_user_id description: 사용자의 Google OAuth 사용자 ID입니다. type: float - name: id description: 사용자의 고유한 Sublime ID입니다. type: string - name: is_enrolled description: 사용자가 등록되었는지 여부입니다. type: boolean - name: last_name description: 사용자의 성입니다.' type: string - name: microsoft_oauth_user_id description: 사용자의 Microsoft OAuth 사용자 ID입니다. type: string - name: role description: 사용자에게 할당된 역할입니다. type: string - name: updated_at description: 사용자가 마지막으로 업데이트된 시점입니다. type: timestamp timeFormats: - rfc3339 indicators: - email - name: data required: true description: 발생한 활동의 세부 정보입니다. type: object fields: - name: message description: 고유한 메시지 ID입니다. type: object fields: - name: external_id description: 외부 ID입니다. type: string - name: id description: 고유한 메시지 ID입니다. type: string - name: message_group description: 메시지 그룹의 SHA256 해시입니다. type: object fields: - name: id description: 메시지 그룹의 SHA256 해시입니다. type: string indicators: - sha256 - name: request required: true description: 요청에 대한 구체적인 세부 정보입니다. type: object fields: - name: query description: 수행되는 쿼리의 매개변수입니다. type: object fields: - name: attachment_md5 description: 첨부 파일의 MD5 해시를 지정합니다. type: string - name: attachment_sha1 description: 첨부 파일의 SHA1 해시를 지정합니다. type: string - name: attachment_sha256 description: 첨부 파일의 SHA256 해시를 지정합니다. type: string - name: created_at[gte] description: 이 시간 이후에 생성된 결과만 반환하도록 지정합니다. type: timestamp timeFormats: - rfc3339 - name: created_at[lte] description: 이 시간 이전에 생성된 결과만 반환하도록 지정합니다. type: timestamp timeFormats: - rfc3339 - name: fetch_all_ids description: 모든 ID를 가져올지 여부를 지정합니다. type: boolean - name: file_name description: 반환할 결과의 파일 이름을 지정합니다. type: string - name: from description: 반환할 발신 이메일 주소를 지정합니다. type: string indicators: - email - name: limit description: 반환할 결과의 최대 개수를 지정합니다. type: bigint - name: mailbox description: 결과를 반환할 메일함을 지정합니다. type: string - name: message_id description: 반환할 메시지 ID를 지정합니다. type: string - name: offset description: 반환할 결과의 오프셋을 지정합니다. type: bigint - name: subject description: 반환할 이메일 제목을 지정합니다. type: string - name: to description: 반환할 수신 이메일 주소를 지정합니다. type: string - name: limit_size description: 크기를 제한할지 여부를 지정합니다. type: boolean - name: authentication_method description: 사용자가 인증된 방식입니다. type: string - name: body description: 요청 본문입니다. type: string - name: id required: true description: 수행 중인 요청의 고유 ID입니다. type: string - name: ip description: 요청이 이루어진 IP 주소입니다. type: string indicators: - ip - name: method description: 요청의 HTTP 메서드입니다. type: string - name: path description: 요청의 URL 경로입니다. type: string - name: user_agent description: 요청을 보내는 사용자 에이전트입니다. type: string - name: id description: 감사 로그의 고유 ID입니다. type: string - name: type description: 기록되는 활동의 유형입니다. type: string ``` ### Sublime.MessageEvent ```yaml # Panther가 생성한 코드입니다; 편집하지 마세요. (@generated) schema: Sublime.MessageEvent description: Sublime의 메시지 이벤트 referenceURL: https://docs.sublimesecurity.com/docs/export-audit-logs-and-message-events#example-message-events fields: - name: created_at required: true description: 플래그가 지정된 메시지 이벤트의 타임스탬프입니다. type: timestamp timeFormats: - rfc3339 isEventTime: true - name: data required: true description: 플래그가 지정된 메시지 이벤트에 대한 추가 정보입니다. type: object fields: - name: flagged_rules required: true description: 플래그가 지정된 규칙 목록입니다. 유형: 배열 요소: type: object fields: - 이름: attack_types 설명: 룰에 의해 탐지된 공격 유형입니다. 유형: 배열 요소: type: string - 이름: 디택션_methods 설명: 룰이 문제를 탐지한 방식입니다. 유형: 배열 요소: type: string - name: id 설명: 플래그된 룰의 ID입니다. type: string - 이름: label 설명: 플래그된 룰의 레이블입니다. type: string - 이름: name 설명: 플래그된 룰의 이름. type: string - 이름: severity 설명: 룰 탐지 결과의 심각도. type: string - 이름: tags 설명: 플래그된 룰의 태그. 유형: 배열 요소: type: string - 이름: tactics_and_techniques 설명: 이 룰 탐지 결과에 매핑된 전술과 기법. 유형: 배열 요소: type: string - name: message 설명: 플래그된 룰과 관련된 엔터티의 고유 식별자. type: object fields: - 이름: canonical_id 설명: SHA256 해시인 canonical ID. type: string indicators: - sha256 - name: external_id 설명: 메시지의 외부 ID. type: string - name: id 설명: 메시지의 ID. type: string - 이름: landed_in_spam 설명: 메시지가 스팸 받은편지함으로 이동했는지 여부. type: boolean - name: mailbox 설명: 메시지가 온 메일함의 ID. type: object fields: - name: external_id description: 외부 ID입니다. type: string - name: id description: 고유한 메시지 ID입니다. type: string - 이름: message_source_id 설명: 메시지 소스의 ID. type: string - 이름: triggered_actions 설명: 플래그가 지정된 규칙에 의해 트리거된 작업 유형: json - name: type required: true 설명: 표시 대상으로 지정되는 메시지의 유형. type: string ``` ### Sublime.MDM ```yaml # Panther가 생성한 코드입니다; 편집하지 마세요. (@generated) 스키마: Sublime.MDM 설명: Sublime의 메시지 데이터 모델 로그 참조 URL: https://docs.sublimesecurity.com/docs/mdm fields: - 이름: _errors 유형: 배열 요소: type: object fields: - 이름: field type: string - name: message type: string - name: type type: string - 이름: _meta required: true type: object fields: - 이름: canonical_id type: string indicators: - sha256 - name: created_at type: timestamp timeFormats: - rfc3339 - 이름: effective_at type: timestamp timeFormats: - rfc3339 - name: id type: string - 이름: attachments 유형: 배열 요소: type: object fields: - 이름: content_id type: string - 이름: content_transfer_encoding type: string - 이름: content_type type: string - 이름: file_extension type: string - name: file_name type: string - 이름: file_type type: string - 이름: md5 type: string - 이름: raw type: string - 이름: sha1 type: string indicators: - sha1 - 이름: sha256 type: string indicators: - sha256 - name: 크기 type: bigint - name: body type: object fields: - name: IP 유형: 배열 요소: type: object fields: - name: ip type: string indicators: - ip - name: 일반 type: object fields: - 이름: content_transfer_encoding type: string - name: 문자 집합 type: string - 이름: raw type: string - name: 링크 유형: 배열 요소: type: object fields: - name: 불일치 type: boolean - name: 표시 URL type: object fields: - name: 비밀번호 type: string - name: 조각 type: string - name: 사용자 이름 type: string indicators: - 사용자 이름 - name: 쿼리 매개변수 type: string - name: path type: string - name: 도메인 type: object fields: - name: 서브도메인 type: string - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 스킴 type: string - name: URL type: string indicators: - URL - name: 표시 텍스트 type: string - name: href URL type: object fields: - name: 비밀번호 type: string - name: 사용자 이름 type: string - name: 다시 작성 type: object fields: - name: 인코더 유형: 배열 요소: type: string - name: 원본 type: string indicators: - URL - name: 조각 type: string - name: 쿼리 매개변수 type: string - name: path type: string - name: 도메인 type: object fields: - name: 서브도메인 type: string - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 스킴 type: string - name: URL type: string indicators: - URL - name: HTML type: object fields: - 이름: content_transfer_encoding type: string - name: 문자 집합 type: string - name: 표시 텍스트 type: string - name: 내부 텍스트 type: string - 이름: raw type: string - name: 현재 스레드 type: object fields: - name: 텍스트 type: string - name: 외부 required: true type: object fields: - name: created_at type: timestamp timeFormats: - rfc3339 isEventTime: true - name: message_id type: string - name: 경로 유형 type: string - name: 스팸 type: boolean - name: 헤더 required: true type: object fields: - name: 발신자 X type: object fields: - name: 도메인 type: object fields: - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 이메일 type: string indicators: - email - name: 로컬 부분 type: string - name: in_reply_to type: string indicators: - email - name: 참조 유형: 배열 요소: type: string indicators: - email - name: reply_to 유형: 배열 요소: type: object fields: - name: 표시 이름 type: string - name: 이메일 type: object fields: - name: 도메인 type: object fields: - name: 서브도메인 type: string - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 이메일 type: string indicators: - email - name: 로컬 부분 type: string indicators: - sha256 - name: 메일러 type: string - name: IP 유형: 배열 요소: type: object fields: - name: ip type: string indicators: - ip - name: 인증 요약 type: object fields: - name: DMARC type: object fields: - name: 통과 type: boolean - name: 세부 정보 type: object fields: - name: 작업 type: string - name: 처리 방식 type: string - name: 정책 type: string - name: 하위 정책 type: string - name: from type: object fields: - name: 서브도메인 type: string - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 판정 type: string - name: 수신 홉 type: bigint - name: SPF type: object fields: - name: 오류 type: boolean - name: 통과 type: boolean - name: 세부 정보 type: object fields: - name: 클라이언트 IP type: object fields: - name: ip type: string indicators: - ip - name: 서버 type: object fields: - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 설명 type: string - name: 지정자 type: string - name: 판정 type: string - name: 수신 홉 type: bigint - name: 전달 대상 type: object fields: - name: 도메인 type: object fields: - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 이메일 type: string indicators: - email - name: 로컬 부분 type: string - name: 도메인 유형: 배열 요소: type: object fields: - name: 서브도메인 type: string - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 반환 경로 type: object fields: - name: 도메인 type: object fields: - name: 서브도메인 type: string - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 이메일 type: string indicators: - email - name: 로컬 부분 type: string - name: 날짜 type: timestamp timeFormats: - rfc3339 - name: 원본 오프셋 날짜 type: bigint - name: 홉 유형: 배열 요소: type: object fields: - name: 수신 SPF type: object fields: - name: 클라이언트 IP type: object fields: - name: ip type: string indicators: - ip - name: 설명 type: string - name: 지정자 type: string - name: 서버 type: object fields: - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 판정 type: string - name: 인증 결과 type: object fields: - name: DMARC type: string - name: DMARC 세부 정보 type: object fields: - name: 작업 type: string - name: 처리 방식 type: string - name: 정책 type: string - name: 하위 정책 type: string - name: from type: object fields: - name: 서브도메인 type: string - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 판정 type: string - name: DKIM type: string - name: DKIM 세부 정보 유형: 배열 요소: type: object fields: - name: 도메인 type: string - name: 인스턴스 type: string - name: 선택자 type: string - name: 서명 type: string - name: type type: string - name: 인스턴스 type: bigint - name: 서버 type: object fields: - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: 서브도메인 type: string - name: TLD type: string - name: 유효 type: boolean - name: SPF type: string - name: SPF 세부 정보 type: object fields: - name: 클라이언트 IP type: object fields: - name: ip type: string indicators: - ip - name: 설명 type: string - name: 지정자 type: string indicators: - email - name: 서버 type: object fields: - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 판정 type: string - name: type type: string - name: 수신됨 type: object fields: - name: 링크 type: object fields: - 이름: raw type: string - name: mailbox type: object fields: - 이름: raw type: string indicators: - email - name: 추가 type: object fields: - 이름: raw type: string indicators: - email - name: 출처 type: object fields: - 이름: raw type: string indicators: - ip - name: id type: object fields: - 이름: raw type: string indicators: - email - name: 프로토콜 type: object fields: - 이름: raw type: string - name: 서버 type: object fields: - 이름: raw type: string indicators: - ip - name: 시간 type: timestamp timeFormats: - rfc3339 - name: 표준시 오프셋 type: bigint - name: 서명 type: object fields: - name: 버전 type: bigint - name: 인스턴스 type: string - name: 알고리즘 type: string - name: 본문 해시 type: string - name: 도메인 type: string - name: 헤더 type: string - name: 선택자 type: string - name: 서명 type: string - name: type type: string - name: 필드 유형: 배열 요소: type: object fields: - 이름: name type: string - name: 위치 type: bigint - name: 값 type: string indicators: - email - ip - name: 인덱스 type: bigint - name: message_id type: string indicators: - email - name: mailbox required: true type: object fields: - name: 이메일 type: object fields: - name: 도메인 type: object fields: - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 이메일 type: string indicators: - email - name: 로컬 부분 type: string - name: 수신자 required: true type: object fields: - name: BCC 유형: 배열 요소: type: object fields: - name: 이메일 type: object fields: - name: 도메인 type: object fields: - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 이메일 type: string indicators: - email - name: 로컬 부분 type: string - name: CC 유형: 배열 요소: type: object fields: - name: 표시 이름 type: string indicators: - email - name: 이메일 type: object fields: - name: 도메인 type: object fields: - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 이메일 type: string indicators: - email - name: 로컬 부분 type: string - name: to 유형: 배열 요소: type: object fields: - name: 표시 이름 type: string indicators: - email - name: 이메일 type: object fields: - name: 도메인 type: object fields: - name: 서브도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 도메인 type: string - name: 유효 type: boolean - name: 이메일 type: string indicators: - email - name: 로컬 부분 type: string indicators: - sha256 - name: 발신자 required: true type: object fields: - name: 표시 이름 type: string indicators: - email - name: 이메일 type: object fields: - name: 도메인 type: object fields: - name: 서브도메인 type: string - name: 도메인 type: string - name: 루트 도메인 type: string - name: SLD type: string - name: TLD type: string - name: 유효 type: boolean - name: 이메일 type: string indicators: - email - name: 로컬 부분 type: string - name: subject type: object fields: - name: subject type: string - name: type required: true type: object fields: - name: 수신 type: boolean ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/sublime-security.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.