# Tracebit 로그
## 개요
Panther는 수집합니다 [Tracebit](https://tracebit.com/) Tracebit에서 알러트를 Panther의 HTTP 엔드포인트로 전송하도록 구성하여 알러트 로그를.
Tracebit는 잠재적 침입을 감지하기 위해 조직의 클라우드 인프라 전반에 카나리 리소스를 유지합니다. Tracebit의 알러트 로그에는 카나리 리소스에서의 활동 및 카나리 자격 증명의 사용에 관한 정보가 포함되어 있습니다.
## Tracebit 로그를 Panther에 온보딩하는 방법
### 1단계: Panther에서 새 Tracebit 소스를 생성합니다
1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하세요 **구성** > **로그 소스**.
2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기**.
3. "Tracebit"를 검색한 다음 해당 타일을 클릭합니다.
4. 슬라이드 아웃 패널에서 클릭하세요 **설정 시작**.
5. 다음을 따르세요 [Panther의 HTTP 소스 구성에 대한 지침](https://docs.panther.com/ko/data-transports/http#how-to-set-up-an-http-log-source-in-panther)5단계부터 시작하여.
* 설정 중에, **구성** 페이지에서 다음을 사용해야 합니다 [HMAC 인증](https://docs.panther.com/ko/data-transports/http#hmac); 이것은 Tracebit가 지원하는 유일한 인증 방법입니다.
* 사용자를 사용할 것이며, **헤더 이름** 연결된 **비밀 키 값** 은 다음 값으로 잠겨 있습니다 `X-Tracebit-Signature-256`, 및 **해싱 알고리즘** 은 다음 값으로 잠겨 있습니다 `SHA 256`.
* 를 생성하고 **비밀 키 값** 다음 단계에서 필요하므로 안전한 위치에 저장하십시오.
* 이 소스로 전송된 페이로드는 다음의 적용을 받습니다 [모든 HTTP 소스에 대한 페이로드 요구사항](https://docs.panther.com/ko/data-transports/http#payload-requirements).
* HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.
### 2단계: Tracebit에서 Panther 통합을 생성합니다
1. Tracebit 콘솔에서 **통합** 페이지를 참조하세요.
2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **Panther**.
3. 일반 구성 **HTTP 로그 소스 URL** 필드에 붙여넣기, **HTTP 소스 URL** 값을 입력하세요.
4. 일반 구성 **HMAC SHA256 공유 비밀** 필드에 붙여넣기, **비밀 키 값** 값을 입력하세요.
5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **"Resource": "\"**.
## 지원되는 로그 유형
### Tracebit.Alert
```yaml
스키마: Tracebit.Alert
설명: Tracebit의 알러트 로그
참조URL: https://tracebit.com
필드:
- name: discriminator
required: true
설명: 로그의 유형입니다.
type: object
필드:
- 이름: type
required: true
설명: 로그의 유형입니다.
type: string
검증:
허용:
- tracebit_alert_log
- name: subtype
설명: 로그의 하위 유형입니다. 예: canary_resource_accessed, canary_credential_used
type: string
- 이름: id
required: true
설명: 알러트 로그의 고유 식별자입니다.
type: string
- name: alert_id
required: true
설명: 알러트의 고유 식별자입니다. 하나의 알러트에 대해 여러 개의 알러트 로그가 있을 수 있습니다.
type: string
- name: tracebit_portal_url
설명: Tracebit 포털에서 알러트를 볼 수 있는 URL입니다.
type: string
지표:
- url
- 이름: timestamp
required: true
설명: 알러트 로그가 발생한 시간입니다.
type: timestamp
timeFormats:
- rfc3339
isEventTime: true
- name: provider
설명: 카나리 또는 카나리 자격 증명의 제공자입니다.
type: string
- name: message
설명: 알러트 로그에 대한 설명입니다.
type: string
- 이름: severity
설명: 알러트 로그의 심각도입니다.
type: string
- name: canary_credential
설명: 알러트를 트리거한 사용된 카나리 자격 증명입니다. 이는 카나리 자격 증명 알러트에만 존재합니다.
type: object
필드:
- 이름: name
설명: 카나리 자격 증명의 이름입니다.
type: string
- 이름: type
설명: 카나리 자격 증명의 유형입니다.
type: string
- name: issued_at
설명: 카나리 자격 증명이 발급된 시간입니다.
type: timestamp
timeFormats:
- rfc3339
- name: expires_at
설명: 카나리 자격 증명이 만료되는 시간입니다.
type: timestamp
timeFormats:
- rfc3339
- 이름: labels
설명: 카나리 자격 증명과 연결된 라벨들입니다.
type: array
element:
type: object
필드:
- 이름: name
설명: 라벨의 이름입니다.
type: string
- 이름: value
설명: 라벨의 값입니다.
type: string
- name: aws
설명: 카나리 자격 증명의 AWS 특정 세부 정보입니다.
type: object
필드:
- name: access_key_id
설명: AWS 액세스 키 ID입니다.
type: string
- name: canary
설명: 알러트를 트리거한 리소스입니다. 이는 카나리 리소스 알러트에만 존재합니다.
type: object
필드:
- name: tracebit_id
설명: Tracebit에서의 카나리 고유 식별자입니다.
type: string
- name: provider_id
설명: 제공자 내에서 카나리 리소스의 고유 식별자입니다.
type: string
- name: provider_account_id
설명: 제공자에서 카나리의 계정에 대한 고유 식별자입니다.
type: string
- 이름: name
설명: 카나리 리소스의 이름입니다.
type: string
- 이름: type
설명: 카나리 리소스의 유형입니다.
type: string
- name: aws
설명: 카나리 리소스의 AWS 특정 세부 정보입니다.
type: object
필드:
- name: account_id
설명: AWS 계정 ID입니다.
type: string
지표:
- aws_account_id
- name: account_name
설명: AWS 계정 이름입니다.
type: string
- name: arn
설명: 리소스의 ARN입니다.
type: string
지표:
- aws_arn
- name: okta
설명: 카나리 리소스의 Okta 특정 세부 정보입니다.
type: object
필드:
- name: domain
설명: Okta 도메인입니다.
type: string
지표:
- 도메인
- name: organization_id
설명: Okta 조직 ID입니다.
type: string
- name: azure
설명: 카나리 리소스의 Azure 특정 세부 정보입니다.
type: object
필드:
- name: subscription_id
설명: Azure 구독 ID입니다.
type: string
- name: subscription_name
설명: Azure 구독 이름입니다.
type: string
- name: resource_id
설명: Azure 리소스 ID입니다.
type: string
- name: principal
설명: 알러트를 트리거한 주체입니다.
type: object
필드:
- 이름: id
설명: 주체의 고유 식별자입니다.
type: string
지표:
- actor_id
- name: aws
설명: 주체의 AWS 특정 세부 정보입니다.
type: object
필드:
- name: arn
설명: 주체의 ARN입니다.
type: string
지표:
- aws_arn
- 이름: type
설명: 주체의 유형입니다.
type: string
- name: account_id
설명: 주체의 AWS 계정 ID입니다.
type: string
지표:
- aws_account_id
- 이름: username
설명: 주체의 사용자 이름입니다.
type: string
- name: okta
설명: 주체(액터)의 Okta 특정 세부 정보입니다.
type: object
필드:
- 이름: id
설명: 액터의 ID입니다.
type: string
- 이름: type
설명: 액터의 유형입니다. 예: User.
type: string
- name: alternate_id
설명: 액터의 대체 ID입니다.
type: string
- name: azure
설명: 주체의 Azure 특정 세부 정보입니다.
type: object
필드:
- 이름: app_id
설명: Azure 애플리케이션 ID입니다.
type: string
- 이름: tenant_id
설명: Azure 테넌트 ID입니다.
type: string
- name: event
설명: 알러트 로그를 트리거한 이벤트입니다.
type: object
필드:
- 이름: id
설명: 이벤트의 고유 식별자입니다.
type: string
- 이름: operation
설명: 이벤트에서 수행된 작업입니다.
type: string
- 이름: request
설명: 이벤트를 트리거한 요청입니다.
type: object
필드:
- name: user_agent
설명: 이벤트를 트리거한 요청이 만들어진 에이전트입니다.
type: object
필드:
- name: raw
설명: 원시 사용자 에이전트 문자열입니다.
type: string
- name: label
설명: 사용자 에이전트를 위한 라벨입니다.
type: string
- 이름: ip
설명: 요청이 만들어진 IP 주소입니다.
type: string
지표:
- ip
- name: resources
설명: 이벤트에 관련된 리소스들입니다.
type: array
element:
type: object
필드:
- 이름: id
설명: 리소스의 고유 식별자입니다.
type: string
- 이름: type
설명: 리소스의 유형입니다.
type: string
```
### Tracebit.HealthCheck
```yaml
스키마: Tracebit.HealthCheck
설명: Tracebit의 헬스 체크
참조URL: https://tracebit.com
필드:
- name: discriminator
required: true
설명: 로그 클래스를 식별하기 위한 정보입니다.
type: object
필드:
- 이름: type
required: true
설명: 로그의 유형입니다.
type: string
검증:
허용:
- health_check
- name: subtype
required: true
설명: 로그의 하위 유형입니다.
type: string
- 이름: timestamp
required: true
설명: 이벤트가 발생한 시간입니다.
type: timestamp
timeFormats:
- rfc3339
isEventTime: true
- name: is_healthy
required: true
설명: 통합이 정상인지 여부입니다.
유형: boolean
```