Ctrlk
Knowledge BaseRelease NotesRequest Demo

Suricata 로그

Suricata 로그를 Panther 콘솔에 연결하기

개요

Panther는 일반적인 방법으로 Suricata 로그를 수집하는 것을 지원합니다 데이터 전송 옵션: Amazon Web Services(AWS) S3, SQS, 및 CloudWatch.

Panther에 Suricata 로그를 온보딩하는 방법

이 로그를 Panther에 연결하려면:

  1. Panther Console의 왼쪽 탐색 모음에서 구성하세요. > 로그 소스.

  2. 을 클릭한 다음 새로 만들기.

  3. 온보딩하려는 로그 유형을 검색한 다음 해당 타일을 클릭합니다.

  4. 이 통합에 사용할 데이터 전송 방법을 선택한 다음, 해당 방법을 구성하기 위한 Panther의 지침을 따르세요:

  5. Suricata를 구성하여 로그를 Data Transport 소스로 푸시합니다.

    • 선택한 Data Transport 소스로 로그를 푸시하는 방법은 Suricata 문서를 참조하세요.

지원되는 로그 유형

Suricata.알러트

EVE JSON 출력의 알러트 이벤트 유형에 대한 Suricata 파서입니다.

자세한 내용은 Suricata 문서의

참조: Suricata.알러트

Suricata.Anomaly

EVE JSON 출력의 Anomaly 이벤트 유형을 위한 Suricata 파서.

참조: EVE JSON 출력 Anomalies에 대한 Suricata 문서.

유형
설명

anomaly

{ "code":bigint, "event":string, "layer":string, "type":string }

Suricata Anomaly Anomaly

app_proto

string

Suricata Anomaly AppProto

community_id

string

Suricata Anomaly CommunityID

dest_ip

string

Suricata Anomaly DestIP

dest_port

int

Suricata Anomaly DestPort

event_type

string

Suricata Anomaly EventType

flow_id

bigint

Suricata Anomaly FlowID

icmp_code

bigint

Suricata Anomaly IcmpCode

icmp_type

bigint

Suricata Anomaly IcmpType

메타데이터

{ "flowbits":[string], "flowints":{ "applayer_anomaly_count":bigint, "http_anomaly_count":bigint, "tcp_retransmission_count":bigint, "tls_anomaly_count":bigint } }

Suricata Anomaly 메타데이터

packet

string

Suricata Anomaly Packet

packet_info

{ "linktype":bigint }

Suricata Anomaly PacketInfo

pcap_cnt

bigint

Suricata Anomaly PcapCnt

pcap_filename

string

Suricata Anomaly PcapFilename

프로토

bigint

Suricata 이상 프로토

src_ip

string

Suricata 이상 SrcIP

src_port

int

Suricata 이상 SrcPort

타임스탬프

타임스탬프

Suricata 이상 타임스탬프

tx_id

bigint

Suricata 이상 TxID

vlan

[bigint]

Suricata 이상 Vlan

p_log_type

string

Panther가 로그 유형이 포함된 필드를 추가함

p_row_id

string

Panther가 테이블 내 고유 ID가 포함된 필드를 추가함

p_event_time

타임스탬프

Panther가 표준화된 이벤트 시간(UTC)을 추가함

p_parse_time

타임스탬프

Panther가 표준화된 로그 파싱 시간(UTC)을 추가함

p_source_id

string

Panther가 소스 ID가 포함된 필드를 추가함

p_source_label

string

Panther가 소스 레이블이 포함된 필드를 추가함

p_any_ip_addresses

[string]

Panther가 행과 관련된 IP 주소 모음을 포함하는 필드를 추가함

p_any_domain_names

[string]

Panther가 행과 관련된 도메인 이름 모음을 포함하는 필드를 추가함

p_any_sha1_hashes

[string]

Panther가 행과 관련된 SHA1 해시 모음을 포함하는 필드를 추가함

p_any_md5_hashes

[string]

Panther가 행과 관련된 MD5 해시 모음을 포함하는 필드를 추가함

p_any_sha256_hashes

[string]

Panther가 행과 관련된 모든 알고리즘의 SHA256 해시 모음을 포함하는 필드를 추가함

Suricata.DHCP

EVE JSON 출력의 DHCP 이벤트 유형을 위한 Suricata 파서.

참조: Suricata.DHCP

Suricata.DNS

EVE JSON 출력의 DNS 이벤트 유형에 대한 Suricata 파서.

참조: EVE JSON 출력 DNS에 대한 Suricata 문서.

Suricata.FileInfo

EVE JSON 출력의 FileInfo 이벤트 유형에 대한 Suricata 파서.

참조: 파일 및 저장 EVE 파일 정보.

Suricata.Flow

EVE JSON 출력의 Flow 이벤트 유형에 대한 Suricata 파서.

참조: Flow 이벤트 유형.

Suricata.HTTP

EVE JSON 출력의 HTTP 이벤트 유형에 대한 Suricata 파서.

참조: HTTP 이벤트 유형.

Suricata.SSH

EVE JSON 출력의 SSH 이벤트 유형에 대한 Suricata 파서.

참조: SSH 이벤트 유형.

Suricata.TLS

EVE JSON 출력의 TLS 이벤트 유형에 대한 Suricata 파서.

참조: TLS 이벤트 유형.

이전Sublime Security 로그다음Sysdig 로그

마지막 업데이트

도움이 되었나요?