Tracebit 로그

Tracebit 로그를 Panther 콘솔에 연결하기

개요

Panther는 수집합니다 Tracebit Tracebit에서 알러트를 Panther의 HTTP 엔드포인트로 전송하도록 구성하여 알러트 로그를.

Tracebit는 잠재적 침입을 감지하기 위해 조직의 클라우드 인프라 전반에 카나리 리소스를 유지합니다. Tracebit의 알러트 로그에는 카나리 리소스에서의 활동 및 카나리 자격 증명의 사용에 관한 정보가 포함되어 있습니다.

Tracebit 로그를 Panther에 온보딩하는 방법

1단계: Panther에서 새 Tracebit 소스를 생성합니다

Panther 콘솔의 왼쪽 탐색 바에서 클릭하세요 구성 > 로그 소스.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.
"Tracebit"를 검색한 다음 해당 타일을 클릭합니다.
슬라이드 아웃 패널에서 클릭하세요 설정 시작.
다음을 따르세요 Panther의 HTTP 소스 구성에 대한 지침5단계부터 시작하여.
- 설정 중에, 구성 페이지에서 다음을 사용해야 합니다 HMAC 인증; 이것은 Tracebit가 지원하는 유일한 인증 방법입니다.
  - 사용자를 사용할 것이며, 헤더 이름 연결된 비밀 키 값 은 다음 값으로 잠겨 있습니다 X-Tracebit-Signature-256, 및 해싱 알고리즘 은 다음 값으로 잠겨 있습니다 SHA 256.
  - 를 생성하고 비밀 키 값 다음 단계에서 필요하므로 안전한 위치에 저장하십시오.
- 이 소스로 전송된 페이로드는 다음의 적용을 받습니다 모든 HTTP 소스에 대한 페이로드 요구사항.
- HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.

2단계: Tracebit에서 Panther 통합을 생성합니다

Tracebit 콘솔에서 통합 페이지를 참조하세요.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. Panther.
일반 구성 HTTP 로그 소스 URL 필드에 붙여넣기, HTTP 소스 URL 값을 입력하세요.
일반 구성 HMAC SHA256 공유 비밀 필드에 붙여넣기, 비밀 키 값 값을 입력하세요.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. "Resource": "<secret ARN>".

지원되는 로그 유형

Tracebit.Alert

스키마: Tracebit.Alert
설명: Tracebit의 알러트 로그
참조URL: https://tracebit.com
필드:
    - name: discriminator
      required: true
      설명: 로그의 유형입니다.
      type: object
      필드:
        - 이름: type
          required: true
          설명: 로그의 유형입니다.
          type: string
          검증:
            허용:
                - tracebit_alert_log
        - name: subtype
          설명: 로그의 하위 유형입니다. 예: canary_resource_accessed, canary_credential_used
          type: string
    - 이름: id
      required: true
      설명: 알러트 로그의 고유 식별자입니다.
      type: string
    - name: alert_id
      required: true
      설명: 알러트의 고유 식별자입니다. 하나의 알러트에 대해 여러 개의 알러트 로그가 있을 수 있습니다.
      type: string
    - name: tracebit_portal_url
      설명: Tracebit 포털에서 알러트를 볼 수 있는 URL입니다.
      type: string
      지표:
        - url
    - 이름: timestamp
      required: true
      설명: 알러트 로그가 발생한 시간입니다.
      type: timestamp
      timeFormats:
        - rfc3339
      isEventTime: true
    - name: provider
      설명: 카나리 또는 카나리 자격 증명의 제공자입니다.
      type: string
    - name: message
      설명: 알러트 로그에 대한 설명입니다.
      type: string
    - 이름: severity
      설명: 알러트 로그의 심각도입니다.
      type: string
    - name: canary_credential
      설명: 알러트를 트리거한 사용된 카나리 자격 증명입니다. 이는 카나리 자격 증명 알러트에만 존재합니다.
      type: object
      필드:
        - 이름: name
          설명: 카나리 자격 증명의 이름입니다.
          type: string
        - 이름: type
          설명: 카나리 자격 증명의 유형입니다.
          type: string
        - name: issued_at
          설명: 카나리 자격 증명이 발급된 시간입니다.
          type: timestamp
          timeFormats:
            - rfc3339
        - name: expires_at
          설명: 카나리 자격 증명이 만료되는 시간입니다.
          type: timestamp
          timeFormats:
            - rfc3339
        - 이름: labels
          설명: 카나리 자격 증명과 연결된 라벨들입니다.
          type: array
          element:
            type: object
            필드:
                - 이름: name
                  설명: 라벨의 이름입니다.
                  type: string
                - 이름: value
                  설명: 라벨의 값입니다.
                  type: string
        - name: aws
          설명: 카나리 자격 증명의 AWS 특정 세부 정보입니다.
          type: object
          필드:
            - name: access_key_id
              설명: AWS 액세스 키 ID입니다.
              type: string
    - name: canary
      설명: 알러트를 트리거한 리소스입니다. 이는 카나리 리소스 알러트에만 존재합니다.
      type: object
      필드:
        - name: tracebit_id
          설명: Tracebit에서의 카나리 고유 식별자입니다.
          type: string
        - name: provider_id
          설명: 제공자 내에서 카나리 리소스의 고유 식별자입니다.
          type: string
        - name: provider_account_id
          설명: 제공자에서 카나리의 계정에 대한 고유 식별자입니다.
          type: string
        - 이름: name
          설명: 카나리 리소스의 이름입니다.
          type: string
        - 이름: type
          설명: 카나리 리소스의 유형입니다.
          type: string
        - name: aws
          설명: 카나리 리소스의 AWS 특정 세부 정보입니다.
          type: object
          필드:
            - name: account_id
              설명: AWS 계정 ID입니다.
              type: string
              지표:
                - aws_account_id
            - name: account_name
              설명: AWS 계정 이름입니다.
              type: string
            - name: arn
              설명: 리소스의 ARN입니다.
              type: string
              지표:
                - aws_arn
        - name: okta
          설명: 카나리 리소스의 Okta 특정 세부 정보입니다.
          type: object
          필드:
            - name: domain
              설명: Okta 도메인입니다.
              type: string
              지표:
                - 도메인
            - name: organization_id
              설명: Okta 조직 ID입니다.
              type: string
        - name: azure
          설명: 카나리 리소스의 Azure 특정 세부 정보입니다.
          type: object
          필드:
            - name: subscription_id
              설명: Azure 구독 ID입니다.
              type: string
            - name: subscription_name
              설명: Azure 구독 이름입니다.
              type: string
            - name: resource_id
              설명: Azure 리소스 ID입니다.
              type: string
    - name: principal
      설명: 알러트를 트리거한 주체입니다.
      type: object
      필드:
        - 이름: id
          설명: 주체의 고유 식별자입니다.
          type: string
          지표:
            - actor_id
        - name: aws
          설명: 주체의 AWS 특정 세부 정보입니다.
          type: object
          필드:
            - name: arn
              설명: 주체의 ARN입니다.
              type: string
              지표:
                - aws_arn
            - 이름: type
              설명: 주체의 유형입니다.
              type: string
            - name: account_id
              설명: 주체의 AWS 계정 ID입니다.
              type: string
              지표:
                - aws_account_id
            - 이름: username
              설명: 주체의 사용자 이름입니다.
              type: string
        - name: okta
          설명: 주체(액터)의 Okta 특정 세부 정보입니다.
          type: object
          필드:
            - 이름: id
              설명: 액터의 ID입니다.
              type: string
            - 이름: type
              설명: 액터의 유형입니다. 예: User.
              type: string
            - name: alternate_id
              설명: 액터의 대체 ID입니다.
              type: string
        - name: azure
          설명: 주체의 Azure 특정 세부 정보입니다.
          type: object
          필드:
            - 이름: app_id
              설명: Azure 애플리케이션 ID입니다.
              type: string
            - 이름: tenant_id
              설명: Azure 테넌트 ID입니다.
              type: string
    - name: event
      설명: 알러트 로그를 트리거한 이벤트입니다.
      type: object
      필드:
        - 이름: id
          설명: 이벤트의 고유 식별자입니다.
          type: string
        - 이름: operation
          설명: 이벤트에서 수행된 작업입니다.
          type: string
        - 이름: request
          설명: 이벤트를 트리거한 요청입니다.
          type: object
          필드:
            - name: user_agent
              설명: 이벤트를 트리거한 요청이 만들어진 에이전트입니다.
              type: object
              필드:
                - name: raw
                  설명: 원시 사용자 에이전트 문자열입니다.
                  type: string
                - name: label
                  설명: 사용자 에이전트를 위한 라벨입니다.
                  type: string
            - 이름: ip
              설명: 요청이 만들어진 IP 주소입니다.
              type: string
              지표:
                - ip
        - name: resources
          설명: 이벤트에 관련된 리소스들입니다.
          type: array
          element:
            type: object
            필드:
                - 이름: id
                  설명: 리소스의 고유 식별자입니다.
                  type: string
                - 이름: type
                  설명: 리소스의 유형입니다.
                  type: string

Tracebit.HealthCheck

스키마: Tracebit.HealthCheck
설명: Tracebit의 헬스 체크
참조URL: https://tracebit.com
필드:
    - name: discriminator
      required: true
      설명: 로그 클래스를 식별하기 위한 정보입니다.
      type: object
      필드:
        - 이름: type
          required: true
          설명: 로그의 유형입니다.
          type: string
          검증:
            허용:
                - health_check
        - name: subtype
          required: true
          설명: 로그의 하위 유형입니다.
          type: string
    - 이름: timestamp
      required: true
      설명: 이벤트가 발생한 시간입니다.
      type: timestamp
      timeFormats:
        - rfc3339
      isEventTime: true
    - name: is_healthy
      required: true
      설명: 통합이 정상인지 여부입니다.
      유형: boolean

이전Tines 로그 다음Windows 이벤트 로그

마지막 업데이트 10개월 전

도움이 되었나요?

스키마: Tracebit.Alert 설명: Tracebit의 알러트 로그 참조URL: https://tracebit.com 필드: - name: discriminator required: true 설명: 로그의 유형입니다. type: object 필드: - 이름: type required: true 설명: 로그의 유형입니다. type: string 검증: 허용: - tracebit_alert_log - name: subtype 설명: 로그의 하위 유형입니다. 예: canary_resource_accessed, canary_credential_used type: string - 이름: id required: true 설명: 알러트 로그의 고유 식별자입니다. type: string - name: alert_id required: true 설명: 알러트의 고유 식별자입니다. 하나의 알러트에 대해 여러 개의 알러트 로그가 있을 수 있습니다. type: string - name: tracebit_portal_url 설명: Tracebit 포털에서 알러트를 볼 수 있는 URL입니다. type: string 지표: - url - 이름: timestamp required: true 설명: 알러트 로그가 발생한 시간입니다. type: timestamp timeFormats: - rfc3339 isEventTime: true - name: provider 설명: 카나리 또는 카나리 자격 증명의 제공자입니다. type: string - name: message 설명: 알러트 로그에 대한 설명입니다. type: string - 이름: severity 설명: 알러트 로그의 심각도입니다. type: string - name: canary_credential 설명: 알러트를 트리거한 사용된 카나리 자격 증명입니다. 이는 카나리 자격 증명 알러트에만 존재합니다. type: object 필드: - 이름: name 설명: 카나리 자격 증명의 이름입니다. type: string - 이름: type 설명: 카나리 자격 증명의 유형입니다. type: string - name: issued_at 설명: 카나리 자격 증명이 발급된 시간입니다. type: timestamp timeFormats: - rfc3339 - name: expires_at 설명: 카나리 자격 증명이 만료되는 시간입니다. type: timestamp timeFormats: - rfc3339 - 이름: labels 설명: 카나리 자격 증명과 연결된 라벨들입니다. type: array element: type: object 필드: - 이름: name 설명: 라벨의 이름입니다. type: string - 이름: value 설명: 라벨의 값입니다. type: string - name: aws 설명: 카나리 자격 증명의 AWS 특정 세부 정보입니다. type: object 필드: - name: access_key_id 설명: AWS 액세스 키 ID입니다. type: string - name: canary 설명: 알러트를 트리거한 리소스입니다. 이는 카나리 리소스 알러트에만 존재합니다. type: object 필드: - name: tracebit_id 설명: Tracebit에서의 카나리 고유 식별자입니다. type: string - name: provider_id 설명: 제공자 내에서 카나리 리소스의 고유 식별자입니다. type: string - name: provider_account_id 설명: 제공자에서 카나리의 계정에 대한 고유 식별자입니다. type: string - 이름: name 설명: 카나리 리소스의 이름입니다. type: string - 이름: type 설명: 카나리 리소스의 유형입니다. type: string - name: aws 설명: 카나리 리소스의 AWS 특정 세부 정보입니다. type: object 필드: - name: account_id 설명: AWS 계정 ID입니다. type: string 지표: - aws_account_id - name: account_name 설명: AWS 계정 이름입니다. type: string - name: arn 설명: 리소스의 ARN입니다. type: string 지표: - aws_arn - name: okta 설명: 카나리 리소스의 Okta 특정 세부 정보입니다. type: object 필드: - name: domain 설명: Okta 도메인입니다. type: string 지표: - 도메인 - name: organization_id 설명: Okta 조직 ID입니다. type: string - name: azure 설명: 카나리 리소스의 Azure 특정 세부 정보입니다. type: object 필드: - name: subscription_id 설명: Azure 구독 ID입니다. type: string - name: subscription_name 설명: Azure 구독 이름입니다. type: string - name: resource_id 설명: Azure 리소스 ID입니다. type: string - name: principal 설명: 알러트를 트리거한 주체입니다. type: object 필드: - 이름: id 설명: 주체의 고유 식별자입니다. type: string 지표: - actor_id - name: aws 설명: 주체의 AWS 특정 세부 정보입니다. type: object 필드: - name: arn 설명: 주체의 ARN입니다. type: string 지표: - aws_arn - 이름: type 설명: 주체의 유형입니다. type: string - name: account_id 설명: 주체의 AWS 계정 ID입니다. type: string 지표: - aws_account_id - 이름: username 설명: 주체의 사용자 이름입니다. type: string - name: okta 설명: 주체(액터)의 Okta 특정 세부 정보입니다. type: object 필드: - 이름: id 설명: 액터의 ID입니다. type: string - 이름: type 설명: 액터의 유형입니다. 예: User. type: string - name: alternate_id 설명: 액터의 대체 ID입니다. type: string - name: azure 설명: 주체의 Azure 특정 세부 정보입니다. type: object 필드: - 이름: app_id 설명: Azure 애플리케이션 ID입니다. type: string - 이름: tenant_id 설명: Azure 테넌트 ID입니다. type: string - name: event 설명: 알러트 로그를 트리거한 이벤트입니다. type: object 필드: - 이름: id 설명: 이벤트의 고유 식별자입니다. type: string - 이름: operation 설명: 이벤트에서 수행된 작업입니다. type: string - 이름: request 설명: 이벤트를 트리거한 요청입니다. type: object 필드: - name: user_agent 설명: 이벤트를 트리거한 요청이 만들어진 에이전트입니다. type: object 필드: - name: raw 설명: 원시 사용자 에이전트 문자열입니다. type: string - name: label 설명: 사용자 에이전트를 위한 라벨입니다. type: string - 이름: ip 설명: 요청이 만들어진 IP 주소입니다. type: string 지표: - ip - name: resources 설명: 이벤트에 관련된 리소스들입니다. type: array element: type: object 필드: - 이름: id 설명: 리소스의 고유 식별자입니다. type: string - 이름: type 설명: 리소스의 유형입니다. type: string

hashtag개요

hashtagTracebit 로그를 Panther에 온보딩하는 방법

hashtag1단계: Panther에서 새 Tracebit 소스를 생성합니다

hashtag2단계: Tracebit에서 Panther 통합을 생성합니다

hashtag지원되는 로그 유형

hashtagTracebit.Alert

hashtagTracebit.HealthCheck

개요