Tracebit 로그

Tracebit 로그를 Panther 콘솔에 연결하기

개요

Panther는 수집합니다 Tracebit Tracebit가 경고를 Panther의 HTTP 엔드포인트로 전송하도록 구성하여 경고 로그를.

Tracebit는 잠재적 침입을 감지하기 위해 조직의 클라우드 인프라 전반에 카나리 리소스를 유지합니다. Tracebit의 경고 로그에는 카나리 리소스에서의 활동 및 카나리 자격 증명의 사용에 대한 정보가 포함됩니다.

Tracebit 로그를 Panther에 온보딩하는 방법

1단계: Panther에서 새 Tracebit 소스 생성

Panther 콘솔의 왼쪽 탐색 바에서 클릭하세요 구성 > 로그 소스.
클릭 새로 만들기.
"Tracebit"를 검색한 후 해당 타일을 클릭하세요.
슬라이드 아웃 패널에서 클릭하세요 설정 시작.
다음을 따르십시오 Panther의 HTTP 소스 구성 지침을(를) 따르십시오. 5단계에서 시작합니다.
- 설정 중에, 구성 페이지에서 사용해야 합니다 HMAC 인증; 이것은 Tracebit가 지원하는 유일한 인증 방법입니다.
  - 설정은 헤더 이름 와(과) 연결된 비밀 키 값 은(는) 다음 값으로 잠겨 있습니다 X-Tracebit-Signature-256및 해시 알고리즘 은(는) 다음 값으로 잠겨 있습니다 SHA 256.
  - 를 생성하고 비밀 키 값 다음 단계에서 필요하므로 안전한 장소에 저장하세요.
- 이 소스로 전송되는 페이로드는 모든 HTTP 소스에 대한 페이로드 요구사항.
- HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.

2단계: Tracebit에서 Panther 통합 생성

Tracebit 콘솔에서 통합 페이지를 참조하세요.
클릭 팬서.
다음 HTTP 로그 소스 URL 필드에 복사한 값을 붙여넣으세요 호스트 를 입력하세요.
다음 HMAC SHA256 공유 비밀 필드에 복사한 값을 붙여넣으세요 비밀 키 값 를 입력하세요.
클릭 저장.

지원되는 로그 유형

Tracebit.Alert

스키마: Tracebit.Alert
설명: Tracebit의 경고 로그
참조 URL: https://tracebit.com
필드:
    - name: discriminator
      required: true
      설명: 로그의 타입.
      type: object
      필드:
        - 이름: type
          required: true
          설명: 로그의 타입.
          type: string
          검증:
            허용:
                - tracebit_alert_log
        - name: subtype
          설명: 로그의 서브타입. 예: canary_resource_accessed, canary_credential_used
          type: string
    - 이름: id
      required: true
      설명: 경고 로그의 고유 식별자.
      type: string
    - name: alert_id
      required: true
      설명: 경고의 고유 식별자. 하나의 경고에 대해 여러 경고 로그가 있을 수 있습니다.
      type: string
    - name: tracebit_portal_url
      설명: Tracebit 포털에서 경고로 이동하는 URL.
      type: string
      지표:
        - URL
    - 이름: timestamp
      required: true
      설명: 경고 로그가 발생한 시간.
      type: timestamp
      timeFormats:
        - rfc3339
      isEventTime: true
    - name: provider
      설명: 카나리 또는 카나리 자격 증명의 제공자.
      type: string
    - name: message
      설명: 경고 로그에 대한 설명.
      type: string
    - 이름: severity
      설명: 경고 로그의 심각도.
      type: string
    - name: canary_credential
      설명: 경고를 트리거한 카나리 자격 증명. 이는 카나리 자격 증명 경고에만 존재합니다.
      type: object
      필드:
        - 이름: name
          설명: 카나리 자격 증명의 이름.
          type: string
        - 이름: type
          설명: 카나리 자격 증명의 유형.
          type: string
        - name: issued_at
          설명: 카나리 자격 증명이 발급된 시간.
          type: timestamp
          timeFormats:
            - rfc3339
        - name: expires_at
          설명: 카나리 자격 증명이 만료되는 시간.
          type: timestamp
          timeFormats:
            - rfc3339
        - 이름: labels
          설명: 카나리 자격 증명과 연결된 레이블들.
          type: array
          element:
            type: object
            필드:
                - 이름: name
                  설명: 레이블의 이름.
                  type: string
                - 이름: value
                  설명: 레이블의 값.
                  type: string
        - name: aws
          설명: 카나리 자격 증명에 대한 AWS 특정 상세 정보.
          type: object
          필드:
            - name: access_key_id
              설명: AWS 액세스 키 ID.
              type: string
    - name: canary
      설명: 경고를 트리거한 리소스. 이는 카나리 리소스 경고에만 존재합니다.
      type: object
      필드:
        - name: tracebit_id
          설명: Tracebit에서의 카나리 고유 식별자.
          type: string
        - name: provider_id
          설명: 제공자 내 카나리 리소스의 고유 식별자.
          type: string
        - name: provider_account_id
          설명: 제공자에서 카나리의 계정 고유 식별자.
          type: string
        - 이름: name
          설명: 카나리 리소스의 이름.
          type: string
        - 이름: type
          설명: 카나리 리소스의 유형.
          type: string
        - name: aws
          설명: 카나리 리소스에 대한 AWS 특정 상세 정보.
          type: object
          필드:
            - name: account_id
              설명: AWS 계정 ID.
              type: string
              지표:
                - aws_account_id
            - name: account_name
              설명: AWS 계정 이름.
              type: string
            - name: arn
              설명: 리소스의 ARN.
              type: string
              지표:
                - aws_arn
        - name: okta
          설명: 카나리 리소스에 대한 Okta 특정 상세 정보.
          type: object
          필드:
            - 이름: domain
              설명: Okta 도메인.
              type: string
              지표:
                - 도메인
            - name: organization_id
              설명: Okta 조직 ID.
              type: string
        - name: azure
          설명: 카나리 리소스에 대한 Azure 특정 상세 정보.
          type: object
          필드:
            - name: subscription_id
              설명: Azure 구독 ID.
              type: string
            - name: subscription_name
              설명: Azure 구독 이름.
              type: string
            - name: resource_id
              설명: Azure 리소스 ID.
              type: string
    - name: principal
      설명: 경고를 트리거한 주체(principal).
      type: object
      필드:
        - 이름: id
          설명: 주체의 고유 식별자.
          type: string
          지표:
            - actor_id
        - name: aws
          설명: 주체에 대한 AWS 특정 상세 정보.
          type: object
          필드:
            - name: arn
              설명: 주체의 ARN.
              type: string
              지표:
                - aws_arn
            - 이름: type
              설명: 주체의 유형.
              type: string
            - name: account_id
              설명: 주체의 AWS 계정 ID.
              type: string
              지표:
                - aws_account_id
            - 이름: username
              설명: 주체의 사용자명.
              type: string
        - name: okta
          설명: 주체(행위자)에 대한 Okta 특정 상세 정보.
          type: object
          필드:
            - 이름: id
              설명: 행위자의 ID.
              type: string
            - 이름: type
              설명: 행위자의 유형. 예: User.
              type: string
            - name: alternate_id
              설명: 행위자의 대체 ID.
              type: string
        - name: azure
          설명: 주체에 대한 Azure 특정 상세 정보.
          type: object
          필드:
            - 이름: app_id
              설명: Azure 애플리케이션 ID.
              type: string
            - 이름: tenant_id
              설명: Azure 테넌트 ID.
              type: string
    - name: event
      설명: 경고 로그를 트리거한 이벤트.
      type: object
      필드:
        - 이름: id
          설명: 이벤트의 고유 식별자.
          type: string
        - 이름: operation
          설명: 이벤트에서 수행된 작업(오퍼레이션).
          type: string
        - 이름: request
          설명: 이벤트를 트리거한 요청.
          type: object
          필드:
            - name: user_agent
              설명: 이벤트를 트리거한 요청이 이뤄진 에이전트.
              type: object
              필드:
                - name: raw
                  설명: 원시 사용자 에이전트 문자열.
                  type: string
                - name: label
                  설명: 사용자 에이전트의 레이블.
                  type: string
            - 이름: ip
              설명: 요청이 발생한 IP 주소.
              type: string
              지표:
                - ip
        - name: resources
          설명: 이벤트에 관련된 리소스들.
          type: array
          element:
            type: object
            필드:
                - 이름: id
                  설명: 리소스의 고유 식별자.
                  type: string
                - 이름: type
                  설명: 리소스의 유형.
                  type: string

Tracebit.HealthCheck

스키마: Tracebit.HealthCheck
설명: Tracebit의 상태 검사(헬스 체크)
참조 URL: https://tracebit.com
필드:
    - name: discriminator
      required: true
      설명: 로그 클래스를 식별하기 위한 정보.
      type: object
      필드:
        - 이름: type
          required: true
          설명: 로그의 타입.
          type: string
          검증:
            허용:
                - health_check
        - name: subtype
          required: true
          설명: 로그의 서브타입.
          type: string
    - 이름: timestamp
      required: true
      설명: 이벤트가 발생한 시간.
      type: timestamp
      timeFormats:
        - rfc3339
      isEventTime: true
    - name: is_healthy
      required: true
      설명: 통합이 정상인지 여부.
      유형: boolean

PreviousTines 로그 NextWindows 이벤트 로그

Last updated 9 months ago

Was this helpful?

스키마: Tracebit.Alert 설명: Tracebit의 경고 로그 참조 URL: https://tracebit.com 필드: - name: discriminator required: true 설명: 로그의 타입. type: object 필드: - 이름: type required: true 설명: 로그의 타입. type: string 검증: 허용: - tracebit_alert_log - name: subtype 설명: 로그의 서브타입. 예: canary_resource_accessed, canary_credential_used type: string - 이름: id required: true 설명: 경고 로그의 고유 식별자. type: string - name: alert_id required: true 설명: 경고의 고유 식별자. 하나의 경고에 대해 여러 경고 로그가 있을 수 있습니다. type: string - name: tracebit_portal_url 설명: Tracebit 포털에서 경고로 이동하는 URL. type: string 지표: - URL - 이름: timestamp required: true 설명: 경고 로그가 발생한 시간. type: timestamp timeFormats: - rfc3339 isEventTime: true - name: provider 설명: 카나리 또는 카나리 자격 증명의 제공자. type: string - name: message 설명: 경고 로그에 대한 설명. type: string - 이름: severity 설명: 경고 로그의 심각도. type: string - name: canary_credential 설명: 경고를 트리거한 카나리 자격 증명. 이는 카나리 자격 증명 경고에만 존재합니다. type: object 필드: - 이름: name 설명: 카나리 자격 증명의 이름. type: string - 이름: type 설명: 카나리 자격 증명의 유형. type: string - name: issued_at 설명: 카나리 자격 증명이 발급된 시간. type: timestamp timeFormats: - rfc3339 - name: expires_at 설명: 카나리 자격 증명이 만료되는 시간. type: timestamp timeFormats: - rfc3339 - 이름: labels 설명: 카나리 자격 증명과 연결된 레이블들. type: array element: type: object 필드: - 이름: name 설명: 레이블의 이름. type: string - 이름: value 설명: 레이블의 값. type: string - name: aws 설명: 카나리 자격 증명에 대한 AWS 특정 상세 정보. type: object 필드: - name: access_key_id 설명: AWS 액세스 키 ID. type: string - name: canary 설명: 경고를 트리거한 리소스. 이는 카나리 리소스 경고에만 존재합니다. type: object 필드: - name: tracebit_id 설명: Tracebit에서의 카나리 고유 식별자. type: string - name: provider_id 설명: 제공자 내 카나리 리소스의 고유 식별자. type: string - name: provider_account_id 설명: 제공자에서 카나리의 계정 고유 식별자. type: string - 이름: name 설명: 카나리 리소스의 이름. type: string - 이름: type 설명: 카나리 리소스의 유형. type: string - name: aws 설명: 카나리 리소스에 대한 AWS 특정 상세 정보. type: object 필드: - name: account_id 설명: AWS 계정 ID. type: string 지표: - aws_account_id - name: account_name 설명: AWS 계정 이름. type: string - name: arn 설명: 리소스의 ARN. type: string 지표: - aws_arn - name: okta 설명: 카나리 리소스에 대한 Okta 특정 상세 정보. type: object 필드: - 이름: domain 설명: Okta 도메인. type: string 지표: - 도메인 - name: organization_id 설명: Okta 조직 ID. type: string - name: azure 설명: 카나리 리소스에 대한 Azure 특정 상세 정보. type: object 필드: - name: subscription_id 설명: Azure 구독 ID. type: string - name: subscription_name 설명: Azure 구독 이름. type: string - name: resource_id 설명: Azure 리소스 ID. type: string - name: principal 설명: 경고를 트리거한 주체(principal). type: object 필드: - 이름: id 설명: 주체의 고유 식별자. type: string 지표: - actor_id - name: aws 설명: 주체에 대한 AWS 특정 상세 정보. type: object 필드: - name: arn 설명: 주체의 ARN. type: string 지표: - aws_arn - 이름: type 설명: 주체의 유형. type: string - name: account_id 설명: 주체의 AWS 계정 ID. type: string 지표: - aws_account_id - 이름: username 설명: 주체의 사용자명. type: string - name: okta 설명: 주체(행위자)에 대한 Okta 특정 상세 정보. type: object 필드: - 이름: id 설명: 행위자의 ID. type: string - 이름: type 설명: 행위자의 유형. 예: User. type: string - name: alternate_id 설명: 행위자의 대체 ID. type: string - name: azure 설명: 주체에 대한 Azure 특정 상세 정보. type: object 필드: - 이름: app_id 설명: Azure 애플리케이션 ID. type: string - 이름: tenant_id 설명: Azure 테넌트 ID. type: string - name: event 설명: 경고 로그를 트리거한 이벤트. type: object 필드: - 이름: id 설명: 이벤트의 고유 식별자. type: string - 이름: operation 설명: 이벤트에서 수행된 작업(오퍼레이션). type: string - 이름: request 설명: 이벤트를 트리거한 요청. type: object 필드: - name: user_agent 설명: 이벤트를 트리거한 요청이 이뤄진 에이전트. type: object 필드: - name: raw 설명: 원시 사용자 에이전트 문자열. type: string - name: label 설명: 사용자 에이전트의 레이블. type: string - 이름: ip 설명: 요청이 발생한 IP 주소. type: string 지표: - ip - name: resources 설명: 이벤트에 관련된 리소스들. type: array element: type: object 필드: - 이름: id 설명: 리소스의 고유 식별자. type: string - 이름: type 설명: 리소스의 유형. type: string

hashtag개요

hashtagTracebit 로그를 Panther에 온보딩하는 방법

hashtag1단계: Panther에서 새 Tracebit 소스 생성

hashtag2단계: Tracebit에서 Panther 통합 생성

hashtag지원되는 로그 유형

hashtagTracebit.Alert

hashtagTracebit.HealthCheck

개요