> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/tracebit.md).
# Tracebit 로그
## 개요
Panther가 수집합니다 [Tracebit](https://tracebit.com/) Tracebit를 구성하여 Panther의 HTTP 엔드포인트로 알러트를 보내면 알러트 로그를 수집할 수 있습니다.
Tracebit는 조직의 클라우드 인프라 전반에서 카나리 리소스를 유지 관리하여 잠재적 침입을 탐지합니다. Tracebit의 알러트 로그에는 카나리 리소스의 활동과 카나리 자격 증명 사용에 대한 정보가 포함됩니다.
## Tracebit 로그를 Panther에 온보딩하는 방법
### 1단계: Panther에서 새 Tracebit 소스 만들기
1. Panther Console의 왼쪽 탐색 모음에서 클릭 **구성** > **로그 소스**.
2. 클릭 **새로 만들기**.
3. "Tracebit"를 검색한 다음 해당 타일을 클릭합니다.
4. 슬라이드아웃 패널에서 클릭 **설정 시작**.
5. 다음을 따르세요 [HTTP 소스를 구성하기 위한 Panther의 지침](/ko/data-onboarding/data-transports/http.md#how-to-set-up-an-http-log-source-in-panther), 5단계부터 시작하여.
* 설정 중에, **구성** 페이지에서 다음을 사용해야 합니다 [HMAC 인증](/ko/data-onboarding/data-transports/http.md#hmac); 이것이 Tracebit가 지원하는 유일한 인증 방식입니다.
* 그 **헤더 이름** 와 연결된 **비밀 키 값** 값이 다음으로 고정됩니다 `X-Tracebit-Signature-256`, 그리고 **해시 알고리즘** 값이 다음으로 고정됩니다 `SHA 256`.
* 다음을 생성하세요 **비밀 키 값** 을 안전한 위치에 저장하세요. 다음 단계에서 필요합니다.
* 이 소스로 전송되는 페이로드는 다음의 적용을 받습니다 [모든 HTTP 소스의 페이로드 요구 사항](/ko/data-onboarding/data-transports/http.md#payload-requirements).
* HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.
### 2단계: Tracebit에서 Panther 통합 만들기
1. Tracebit 콘솔에서 다음으로 이동하세요 **통합** 페이지.
2. 클릭 **Panther**.
3. 다음에서 **HTTP 로그 소스 URL** 필드에 다음을 **HTTP 소스 URL** 이전 단계에서 Panther에서 생성한
4. 다음에서 **HMAC SHA256 공유 비밀 키** 필드에 다음을 **비밀 키 값** 이전 단계에서 Panther에서 생성한
5. 클릭 **저장**.
## 지원되는 로그 유형
### Tracebit.알러트
schema: Tracebit.알러트
설명: Tracebit의 알러트 로그
referenceURL: https://tracebit.com
fields:
- name: discriminator
required: true
description: 로그의 유형입니다.
type: object
fields:
- name: type
required: true
description: 로그의 유형입니다.
type: string
validate:
allow:
- tracebit_알러트_log
- name: subtype
description: 로그의 하위 유형입니다. 예: canary_resource_accessed, canary_credential_used
type: string
- name: id
required: true
description: 알러트 로그의 고유 식별자입니다.
type: string
- name: 알러트_id
required: true
description: 알러트의 고유 식별자입니다. 단일 알러트에 대해 여러 알러트 로그가 있을 수 있습니다.
type: string
- name: tracebit_portal_url
description: Tracebit 포털의 알러트 URL입니다.
type: string
- name: timestamp
required: true
description: 알러트 로그가 발생한 시각입니다.
type: timestamp
timeFormats:
- rfc3339
isEventTime: true
- name: provider
description: 카나리 또는 카나리 자격 증명의 제공자입니다.
type: string
- name: message
description: 알러트 로그에 대한 설명입니다.
type: string
- name: severity
description: 알러트 로그의 심각도입니다.
type: string
- name: canary_credential
description: 알러트를 발생시킨 데 사용된 카나리 자격 증명입니다. 이는 카나리 자격 증명 알러트에만 존재합니다.
type: object
fields:
- name: name
description: 카나리 자격 증명의 이름입니다.
type: string
- name: type
description: 카나리 자격 증명의 유형입니다.
type: string
- name: issued_at
description: 카나리 자격 증명이 발급된 시각입니다.
type: timestamp
timeFormats:
- rfc3339
- name: expires_at
description: 카나리 자격 증명이 만료되는 시각입니다.
type: timestamp
timeFormats:
- rfc3339
- name: labels
description: 카나리 자격 증명과 연결된 레이블입니다.
type: array
element:
type: object
fields:
- name: name
description: 레이블의 이름입니다.
type: string
- name: value
description: 레이블의 값입니다.
type: string
- name: aws
description: 카나리 자격 증명의 AWS 관련 세부 정보입니다.
type: object
fields:
- name: access_key_id
description: AWS 액세스 키 ID입니다.
type: string
- name: canary
description: 알러트를 발생시킨 데 사용된 리소스입니다. 이는 카나리 리소스 알러트에만 존재합니다.
type: object
fields:
- name: tracebit_id
description: Tracebit의 카나리 고유 식별자입니다.
type: string
- name: provider_id
description: 해당 제공자에서 카나리 리소스의 고유 식별자입니다.
type: string
- name: provider_account_id
description: 제공자에서 카나리의 계정 고유 식별자입니다.
type: string
- name: name
description: 카나리 리소스의 이름입니다.
type: string
- name: type
description: 카나리 리소스의 유형입니다.
type: string
- name: aws
description: 카나리 리소스의 AWS 관련 세부 정보입니다.
type: object
fields:
- name: account_id
description: AWS 계정 ID입니다.
type: string
indicators:
- aws_account_id
- name: account_name
description: AWS 계정 이름입니다.
type: string
- name: arn
description: 리소스의 ARN입니다.
type: string
indicators:
- aws_arn
- name: okta
description: 카나리 리소스의 Okta 관련 세부 정보입니다.
type: object
fields:
- name: domain
description: Okta 도메인입니다.
type: string
indicators:
- domain
- name: organization_id
description: Okta 조직 ID입니다.
type: string
- name: azure
description: 카나리 리소스의 Azure 관련 세부 정보입니다.
type: object
fields:
- name: subscription_id
description: Azure 구독 ID입니다.
type: string
- name: subscription_name
description: Azure 구독 이름입니다.
type: string
- name: resource_id
description: Azure 리소스 ID입니다.
type: string
- name: principal
description: 알러트를 발생시킨 주체입니다.
type: object
fields:
- name: id
description: 주체의 고유 식별자입니다.
type: string
indicators:
- actor_id
- email
- name: aws
description: 주체의 AWS 관련 세부 정보입니다.
type: object
fields:
- name: arn
description: 주체의 ARN입니다.
type: string
indicators:
- aws_arn
- name: type
description: 주체의 유형입니다.
type: string
- name: account_id
description: 주체의 AWS 계정 ID입니다.
type: string
indicators:
- aws_account_id
- name: username
description: 주체의 사용자 이름입니다.
type: string
indicators:
- username
- name: okta
description: 주체(행위자)의 Okta 관련 세부 정보입니다.
type: object
fields:
- name: id
description: 행위자의 ID입니다.
type: string
- name: type
description: 행위자의 유형입니다. 예: User.
type: string
- name: alternate_id
description: 행위자의 대체 ID입니다.
type: string
indicators:
- email
- actor_id
- name: azure
description: 주체의 Azure 관련 세부 정보입니다.
type: object
fields:
- name: app_id
description: Azure 애플리케이션 ID입니다.
type: string
- name: tenant_id
description: Azure 테넌트 ID입니다.
type: string
- name: google_cloud
description: 주체의 Google Cloud 관련 세부 정보입니다.
type: object
fields:
- name: federated_identity_type
description: 연합 ID의 유형입니다.
type: string
- name: federated_identity_pool
description: 연합 ID의 풀입니다.
type: string
- name: federated_identity_subject
description: 연합 ID의 subject입니다.
type: string
- name: event
description: 알러트 로그를 발생시킨 이벤트입니다.
type: object
fields:
- name: id
description: 이벤트의 고유 식별자입니다.
type: string
- name: operation
description: 이벤트에서 수행된 작업입니다.
type: string
- name: request
description: 이벤트를 발생시킨 요청입니다.
type: object
fields:
- name: user_agent
description: 이벤트를 발생시킨 요청이 만들어진 에이전트입니다.
type: object
fields:
- name: raw
description: 원시 사용자 에이전트 문자열입니다.
type: string
- name: label
description: 사용자 에이전트의 레이블입니다.
type: string
- name: ip
description: 요청이 만들어진 IP 주소입니다.
type: string
indicators:
- ip
- name: resources
description: 이벤트에 관련된 리소스입니다.
type: array
element:
type: object
fields:
- name: id
description: 리소스의 고유 식별자입니다.
type: string
- name: type
description: 리소스의 유형입니다.
type: string
### Tracebit.알러트Summary
```yaml
schema: Tracebit.알러트Summary
설명: Tracebit의 알러트 요약 로그입니다. 요약은 액세스된 카나리와 생성된 지표를 포함하여 단일 알러트의 활동을 집계합니다.
referenceURL: https://tracebit.com
fields:
- name: discriminator
required: true
description: 로그의 유형입니다.
type: object
fields:
- name: type
required: true
description: 로그의 유형입니다.
type: string
validate:
allow:
- tracebit_알러트_summary
- name: subtype
description: 로그의 하위 유형입니다. 예: canary_resource_accessed, canary_credential_used
type: string
- name: 알러트_id
required: true
설명: 이 요약이 설명하는 알러트의 고유 식별자입니다.
type: string
- name: tracebit_portal_url
required: true
description: Tracebit 포털의 알러트 URL입니다.
type: string
- name: timestamp
required: true
설명: 알러트 요약이 생성된 시각입니다.
type: timestamp
timeFormats:
- rfc3339
isEventTime: true
- name: start_time
required: true
설명: 알러트 요약에 포함된 가장 이른 활동의 시각입니다.
type: timestamp
timeFormats:
- rfc3339
- name: end_time
설명: 알러트 요약에 포함된 가장 최근 활동의 시각입니다.
type: timestamp
timeFormats:
- rfc3339
- name: provider
required: true
description: 카나리 또는 카나리 자격 증명의 제공자입니다.
type: string
- name: severity
required: true
설명: 알러트의 심각도입니다.
type: string
- name: classification
required: true
설명: 알러트의 분류입니다. 예: Unclassified, TruePositive, BenignPositive.
type: string
- name: classification_reason
설명: 알러트 분류의 이유입니다.
type: string
- name: ip_addresses
required: true
설명: 알러트에 관련된 IP 주소입니다.
type: array
element:
type: string
indicators:
- ip
- name: canaries_accessed
설명: 알러트 동안 액세스된 카나리 리소스입니다.
type: array
element:
type: object
fields:
- name: tracebit_id
description: Tracebit의 카나리 고유 식별자입니다.
type: string
- name: provider_id
description: 해당 제공자에서 카나리 리소스의 고유 식별자입니다.
type: string
- name: provider_account_id
description: 제공자에서 카나리의 계정 고유 식별자입니다.
type: string
- name: name
description: 카나리 리소스의 이름입니다.
type: string
- name: type
description: 카나리 리소스의 유형입니다.
type: string
- name: deployed_at
설명: 카나리 리소스가 배포된 시각입니다.
type: timestamp
timeFormats:
- rfc3339
- name: aws
description: 카나리 리소스의 AWS 관련 세부 정보입니다.
type: object
fields:
- name: account_id
description: AWS 계정 ID입니다.
type: string
indicators:
- aws_account_id
- name: account_name
description: AWS 계정 이름입니다.
type: string
- name: arn
description: 리소스의 ARN입니다.
type: string
indicators:
- aws_arn
- name: region
설명: 리소스의 AWS 리전입니다.
type: string
- name: azure
description: 카나리 리소스의 Azure 관련 세부 정보입니다.
type: object
fields:
- name: subscription_id
description: Azure 구독 ID입니다.
type: string
- name: subscription_name
description: Azure 구독 이름입니다.
type: string
- name: resource_id
description: Azure 리소스 ID입니다.
type: string
- name: okta
description: 카나리 리소스의 Okta 관련 세부 정보입니다.
type: object
fields:
- name: domain
description: Okta 도메인입니다.
type: string
indicators:
- domain
- name: organization_id
description: Okta 조직 ID입니다.
type: string
- name: principal
description: 알러트를 발생시킨 주체입니다.
type: object
fields:
- name: id
description: 주체의 고유 식별자입니다.
type: string
indicators:
- actor_id
- email
- name: aws
description: 주체의 AWS 관련 세부 정보입니다.
type: object
fields:
- name: arn
description: 주체의 ARN입니다.
type: string
indicators:
- aws_arn
- name: type
description: 주체의 유형입니다.
type: string
- name: account_id
description: 주체의 AWS 계정 ID입니다.
type: string
indicators:
- aws_account_id
- name: username
description: 주체의 사용자 이름입니다.
type: string
indicators:
- username
- name: azure
description: 주체의 Azure 관련 세부 정보입니다.
type: object
fields:
- name: app_id
description: Azure 애플리케이션 ID입니다.
type: string
- name: tenant_id
description: Azure 테넌트 ID입니다.
type: string
- name: okta
description: 주체(행위자)의 Okta 관련 세부 정보입니다.
type: object
fields:
- name: id
description: 행위자의 ID입니다.
type: string
- name: type
description: 행위자의 유형입니다. 예: User.
type: string
- name: alternate_id
description: 행위자의 대체 ID입니다.
type: string
indicators:
- email
- actor_id
- name: google_cloud
description: 주체의 Google Cloud 관련 세부 정보입니다.
type: object
fields:
- name: federated_identity_type
description: 연합 ID의 유형입니다.
type: string
- name: federated_identity_pool
description: 연합 ID의 풀입니다.
type: string
- name: federated_identity_subject
description: 연합 ID의 subject입니다.
type: string
- name: indicators
required: true
설명: 알러트에 대해 생성된 지표입니다.
type: array
element:
type: object
fields:
- name: id
설명: 지표의 고유 식별자입니다.
type: string
- name: name
설명: 지표의 이름입니다.
type: string
- name: description
설명: 지표에 대한 설명입니다.
type: string
- name: details
설명: 지표에 대한 추가 세부 정보입니다.
type: json
```
### Tracebit.헬스체크
```yaml
schema: Tracebit.헬스체크
설명: Tracebit의 상태 점검입니다.
referenceURL: https://tracebit.com
fields:
- name: discriminator
required: true
설명: 로그 클래스를 식별하기 위한 정보입니다.
type: object
fields:
- name: type
required: true
description: 로그의 유형입니다.
type: string
validate:
allow:
- health_check
- name: subtype
required: true
설명: 로그의 하위 유형입니다.
type: string
- name: timestamp
required: true
설명: 이벤트가 발생한 시각입니다.
type: timestamp
timeFormats:
- rfc3339
isEventTime: true
- name: is_healthy
required: true
설명: 통합의 상태가 정상인지 여부입니다.
type: boolean
```
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.panther.com/ko/data-onboarding/supported-logs/tracebit.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.