# Upwind 로그 (베타) ## 개요 {% hint style="info" %} Upwind 통합은 Panther 버전 1.119부터 공개 베타로 제공되며, 모든 고객이 이용할 수 있습니다. 버그 리포트와 기능 요청은 Panther 지원팀에 공유해 주세요. {% endhint %} Panther는 수집을 지원합니다. [Upwind](https://www.upwind.io/) 로그를, Upwind 웹훅을 구성하여 Panther의 HTTP 엔드포인트로 이벤트를 전송함으로써. Upwind는 런타임에서 동작하는 CNAPP(Cloud Native Application Protection Platform)를 제공하는 클라우드 보안 회사입니다. 이 회사는 클라우드 배포, 애플리케이션, 인프라에 대해 “내부에서 외부로” 보이는 가시성을 제공하여, 팀이 위험(예: 오구성, 취약점, 위협 행위)을 실시간으로 식별하고 방지할 수 있도록 돕습니다. ## Upwind 로그를 Panther에 연결하는 방법 ### 1단계: Panther에 새 Upwind 소스 만들기 1. Panther Console의 왼쪽 탐색 모음에서 **구성** > **로그 소스.** 2. 클릭하세요. **새로 만들기**. 3. “Upwind”를 검색한 다음 타일을 클릭합니다. 4. 오른쪽 상단에서 다음을 클릭합니다 **설정 시작**. 5. Panther의 [HTTP Source 구성 지침을 따르세요](/ko/data-onboarding/data-transports/http.md#how-to-set-up-an-http-log-source-in-panther), 5단계부터 시작합니다. * 설정할 때 **인증 방법**, 다음을 사용해야 합니다 **Bearer**. * 이 소스로 전송되는 페이로드는 다음의 적용을 받습니다 [모든 HTTP 소스에 대한 페이로드 요구 사항](/ko/data-onboarding/data-transports/http.md#payload-requirements). * HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요. ### 2단계: Upwind에서 웹훅 구성하기 이전 단계에서 생성한 HTTP 엔드포인트를 사용해 새 웹훅을 구성하려면: 1. 다음에 로그인합니다 [Upwind 관리 콘솔](https://console.upwind.io/). 2. 왼쪽 아래 모서리에서 **Components**. 3. 다음을 클릭합니다 **통합** 탭. 4. 아래에서 **Monitoring & Logging**,의 **사용자 지정 Webhook** 타일에서 **세부 정보 보기**. 5. 클릭하세요. **사용자 지정 웹훅 만들기**. 6. 에서 **사용자 지정 웹훅 생성** 페이지에서 양식을 작성합니다: * **웹훅 이름**: 다음과 같은 설명적인 이름을 입력합니다. `Panther 수집 웹훅`. * **URL**: 1단계에서 생성한 HTTP 엔드포인트를 붙여넣습니다. * **인증 유형**: 다음을 선택합니다 **Bearer 토큰**. * 에서 **Value** 필드에 1단계에서 Panther에 사용한 bearer 토큰을 붙여넣습니다.
7. 클릭하세요. **테스트 및 저장**. ### 3단계: Upwind에서 워크플로 정의하기 이전 단계에서 생성한 웹훅을 사용하여 워크플로를 정의하려면: 1. 왼쪽 아래 모서리의 [Upwind 관리 콘솔](https://console.upwind.io/), 클릭 **Components**. 2. 다음을 클릭합니다 **Workflows** 탭. 3. 클릭하세요. **워크플로 만들기**. 4. 에서 **워크플로 이름** 필드에 다음과 같은 사용자 지정 워크플로 이름을 입력합니다. 예: `Panther 워크플로`. 5. 에서 **워크플로 트리거** 상자에서 더하기 기호를 클릭한 다음 다음 옵션 중 하나를 선택합니다.\ image2.png

아래 두 트리거를 모두 사용하려면 Upwind에서 워크플로를 두 개 만들어야 합니다.

* **새 디택션이 발견되면**: 이 워크플로는 표시된 심각도 중 하나를 가진 디택션이 생성될 때만 트리거됩니다. * 하나 이상의 디택션 심각도(Critical, High, Medium 및/또는 Low)를 선택합니다. ![](/files/83d19aa0c8f5193185aaa7ae86c0c962a75da0eb) * **새 이벤트가 발견되면**: 이 워크플로는 표시된 범주 중 하나를 가진 이벤트가 발견될 때만 트리거됩니다. * 하나 이상의 이벤트 카테고리(네트워크, API 보안, 프로세스, Kubernetes 감사 로그, CloudTrail 로그, Cloud Scanner, 파일, 시스템 호출, 기준선 및/또는 Azure 활동 로그)를 선택하세요. ![](/files/79c9eaacbaa05d49dc73be4890565168afb434dc) 6. (선택 사항) 워크플로를 트리거하기 위해 통과해야 하는 필터를 추가하려면, **워크플로 선택기(선택 사항)** 상자에서 더하기 기호를 클릭한 다음 **+ 선택기 추가**.\ ![image4.png](/files/0225c735b51e8545e38d5eb3b297d564a04bb0ba) 1. 다음 옵션에서 속성을 선택하세요: * **클라우드 계정**: Upwind에서 연결한 클라우드 계정 * **리소스 이름**: 특정 리소스 이름 * **리소스 종류**: 특정한 유형의 리소스 2. 선택한 속성을 기준으로 값을 선택하세요. \ ![image6.png](/files/f14ed298d5c767ce27b366697ff322af970f6015) 7. 워크플로 작업 구성: 1. 에서 **워크플로 작업** 상자에서 더하기 기호를 클릭합니다. 2. 클릭하세요. **사용자 지정 웹훅으로 보내기**. 3. 에서 **웹훅 선택** 드롭다운에서 2단계에서 정의한 Panther 웹훅을 선택합니다. 8. 클릭하세요. **저장**. ## 지원되는 로그 유형 ### Upwind.Detections 트리거(정책 위반) 및 연결된 리소스와 관련된 속성과 같은 포괄적인 세부 정보에 대한 액세스를 제공합니다. 자세한 내용은 다음을 참조하세요. [풍상 탐지 개요](https://docs.upwind.io/threats/detections/overview) 페이지에서 찾을 수 있습니다. ```yaml schema: Upwind.Detections 설명: Upwind 플랫폼에서 생성된 구조화된 보안 디택션 기록으로, 문맥화된 위협 인텔리전스, 리소스 메타데이터, 심각도 분류, MITRE ATT&CK 매핑, 그리고 클라우드 환경을 위한 정책에 의해 트리거된 이벤트 세부 정보를 포함합니다. 참조 URL: https://docs.upwind.io/restapi/v1/get-threat-디택션 필드: - 이름: category 설명: 이 디택션의 카테고리. required: true 유형: 문자열 - 이름: description 설명: 이 디택션에 대한 자세한 설명입니다. 유형: 문자열 - 이름: first_seen_time 설명: 이 디택션이 처음 확인된 시각입니다. required: true 유형: 타임스탬프 시간 형식: - rfc3339 - 이름: id 설명: 이 디택션의 고유 식별자. required: true 유형: 문자열 - name: last_seen_time description: 이 디택션이 마지막으로 확인된 시점의 타임스탬프. required: true isEventTime: true 유형: 타임스탬프 시간 형식: - rfc3339 - name: links description: 콘솔 URL과 같이 이 디택션과 연결된 관련 링크의 목록. 유형: 배열 요소: 유형: 객체 필드: - name: href description: 관련 리소스의 URL. 유형: 문자열 지표: - url - name: rel description: 링크의 관계 유형. 유형: 문자열 - name: mitre_attacks description: 이 디택션과 관련된 MITRE ATT&CK 프레임워크 정보. 유형: 배열 요소: 유형: 객체 필드: - name: links 설명: MITRE ATT&CK 설명을 가리키는 링크 유형: 배열 요소: 유형: 객체 필드: - name: href 설명: 자세한 MITRE ATT&CK 정보로 연결되는 URL입니다. 유형: 문자열 - name: rel description: 링크의 관계 유형. 유형: 문자열 - 이름: tactic_id 설명: 전술의 고유 식별자입니다. 유형: 문자열 - 이름: tactic_name 설명: 전술의 이름입니다. 유형: 문자열 - 이름: technique_id 설명: 기법의 고유 식별자입니다. 유형: 문자열 지표: - mitre_attack_technique - 이름: technique_name 기법의 이름. 유형: 문자열 - name: occurrence_count 이 디택션의 발생 횟수. required: true 유형: bigint - name: resource 이 디택션과 연결된 리소스. required: true 유형: 객체 필드: - 이름: cloud_account_id 이 리소스와 연결된 클라우드 계정의 고유 식별자. 유형: 문자열 지표: - aws_account_id - name: cloud_account_name 이 리소스와 연결된 클라우드 계정의 이름. 유형: 문자열 - name: cloud_account_tags 리소스가 속한 클라우드 계정과 연결된 태그 목록. 유형: 배열 요소: 유형: 객체 필드: - name: key 태그 키. 유형: 문자열 - 이름: value 태그 값. 유형: 문자열 - 이름: cloud_provider 이 리소스의 클라우드 제공업체. 유형: 문자열 - name: cluster_id 이 리소스와 연결된 클러스터의 고유 식별자. 유형: 문자열 - name: external_id 이 리소스의 외부 고유 식별자. 유형: 문자열 지표: - trace_id - 이름: id 이 리소스의 고유 식별자. 유형: 문자열 - name: internet_exposure 인터넷 트래픽에 대한 리소스 노출 정보. 유형: 객체 필드: - name: ingress 리소스의 인터넷 노출 수신 통신 활동에 대한 정보. 유형: 객체 필드: - name: active_communication 인터넷에서 리소스로의 활성 수신 통신이 있는지 여부를 나타내는 표시자. 유형: 불리언 - 이름: name 이 리소스의 이름. 유형: 문자열 - name: namespace 이 리소스가 위치한 네임스페이스 유형: 문자열 - name: region 이 리소스가 위치한 지역. 유형: 문자열 - name: risk_categories 유형: 배열 요소: 유형: 문자열 - name: type 이 리소스의 유형. 유형: 문자열 - name: upwind_asset_id 이 리소스의 Upwind 자산 식별자. 유형: 문자열 - 이름: severity 이 디택션의 심각도 수준. 유형: 문자열 - 이름: status 이 디택션의 상태. 유형: 문자열 - name: title 이 디택션의 제목. required: true 유형: 문자열 - name: triggers 이 디택션과 연결된 트리거 목록입니다. 각 트리거는 이 디택션을 발생시킨 정책 위반을 나타냅니다. 여기에는 정책 식별자와 위반과 관련된 이벤트 목록이 포함됩니다. 유형: 배열 요소: 유형: 객체 필드: - name: events 이벤트 요약 목록. 유형: 배열 요소: 유형: 객체 필드: - name: data 디택션 트리거와 연결된 구조화된 이벤트별 데이터. 유형: 객체 필드: - name: command 이 이벤트와 관련된 실행된 명령. 유형: 문자열 - 이름: description 이벤트별 데이터에 대한 자세한 설명. 유형: 문자열 - name: execution_count 연결된 명령 또는 활동이 실행된 횟수. 유형: bigint - name: last_process_tree 이벤트와 관련하여 가장 최근에 관찰된 프로세스 실행 트리. 유형: 배열 요소: 유형: 객체 필드: - name: command 프로세스를 시작하는 데 사용된 전체 명령줄. 유형: 문자열 - name: host_parent_process_id description: 호스트에서 상위 프로세스의 식별자입니다. 유형: bigint - name: host_process_id description: 호스트에서 프로세스의 식별자입니다. 유형: bigint - 이름: name description: 프로세스의 이름입니다. 유형: 문자열 - name: start_time description: 프로세스가 시작된 시각입니다. 유형: 타임스탬프 시간 형식: - rfc3339 - 이름: name description: 이 이벤트 데이터와 관련된 이름 유형: 문자열 - 이름: pattern description: 일치한 디택션 패턴입니다. 유형: 문자열 - 이름: status description: 이벤트별 평가의 상태입니다. 유형: 문자열 - name: user_name description: 이벤트 활동과 관련된 사용자 이름입니다. 유형: 문자열 지표: - 사용자 이름 - name: validation description: 디택션과 관련된 유효성 검사 또는 평가 결과 목록입니다. 유형: 배열 요소: 유형: 문자열 - 이름: description description: 이 이벤트에 대한 설명입니다. 유형: 문자열 - name: endpointId description: 이벤트가 발생한 엔드포인트의 식별자입니다. 유형: 문자열 - name: initiator description: 이벤트를 시작한 엔티티에 대한 정보입니다. 유형: 객체 필드: - name: accessKeyId description: 시작 주체가 사용한 액세스 키 ID입니다. 유형: 문자열 - name: accountId description: 시작 주체의 클라우드 계정 ID입니다. 유형: 문자열 - name: arn description: 시작 주체의 Amazon 리소스 이름(ARN)입니다. 유형: 문자열 지표: - aws_arn - 이름: name description: 시작 엔티티의 이름입니다. 유형: 문자열 - name: principalId description: 시작 주체의 주체 식별자입니다. 유형: 문자열 - name: type description: 시작 엔티티의 유형입니다 유형: 문자열 - name: userName description: 시작 주체의 사용자 이름입니다. 유형: 문자열 지표: - 사용자 이름 - name: timestamp description: 이벤트가 발생한 시각입니다. 유형: 타임스탬프 시간 형식: - rfc3339 - name: type description: 이벤트의 유형입니다. 유형: 문자열 - name: policy_id description: 정책의 고유 식별자입니다. 유형: 문자열 - name: policy_name description: 정책의 이름입니다. 유형: 문자열 - name: type description: 디택션의 유형입니다. required: true 유형: 문자열 - name: upwind_console_link description: Upwind 콘솔에서 이 디택션을 볼 수 있는 직접 URL 링크입니다. 유형: 문자열 지표: - url ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/upwind.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.