Upwind 로그(베타)

Upwind 로그를 Panther 콘솔에 연결하기

개요

Upwind 통합은 Panther 버전 1.119부터 오픈 베타 상태이며 모든 고객이 사용할 수 있습니다. 버그 보고서나 기능 요청이 있으면 Panther 지원팀과 공유해 주세요.

Panther는 다음을 수집하는 것을 지원합니다 Upwind 로그는 Upwind 웹훅을 구성하여 이벤트를 Panther의 HTTP 엔드포인트로 전송하도록 설정하면 수집됩니다.

Upwind는 런타임에서 동작하는 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)을 제공하는 클라우드 보안 회사입니다. 클라우드 배포, 애플리케이션 및 인프라에 대해 “내부에서부터의” 가시성을 제공하여 팀이 실시간으로 위험(예: 잘못된 구성, 취약성, 위협 행동)을 식별하고 방지할 수 있도록 돕습니다.

Upwind 로그를 Panther에 온보드하는 방법

1단계: Panther에서 새 Upwind 소스 생성

Panther 콘솔의 왼쪽 사이드 내비게이션 바에서 구성 > 로그 소스.
클릭 새로 만들기.
“Upwind”를 검색한 다음 해당 타일을 클릭하세요.
오른쪽 상단 모서리에서 설정 시작.
Panther의 HTTP 소스 구성에 대한 지침의 5단계부터 시작하세요.
- 다음을 설정할 때 인증 방식으로, 다음을 사용해야 합니다 Bearer.
- 이 소스로 전송되는 페이로드는 모든 HTTP 소스에 대한 페이로드 요구사항.
- 이 HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.

2단계: Upwind에서 웹훅 구성

이전 단계에서 생성한 HTTP 엔드포인트를 사용하여 새 웹훅을 구성하려면:

다음에 로그인하세요 Upwind 관리 콘솔.
왼쪽 하단 모서리에서 구성 요소.
클릭하세요 통합 탭.
아래의 모니터링 및 로깅에서, 사용자 정의 웹훅 타일에서 세부정보 보기.
클릭 사용자 정의 웹훅 생성.
의 사용자 정의 웹훅 생성 페이지에서 양식을 작성하세요:
- 웹훅 이름: 설명적인 이름을 입력하세요(예: Panther 수집용 웹훅.
- URL: 1단계에서 생성한 HTTP 엔드포인트를 붙여넣으세요.
- 인증 유형: 다음을 선택하세요 Bearer 토큰.
  - 의 값 필드에 1단계에서 Panther에 사용한 베어러 토큰을 붙여넣으세요.
클릭 테스트 및 저장.

3단계: Upwind에서 워크플로 정의

이전 단계에서 생성한 웹훅을 사용하여 워크플로를 정의하려면:

콘솔의 왼쪽 하단 모서리에서 Upwind 관리 콘솔클릭하세요 구성 요소.
클릭하세요 워크플로 탭.
클릭 워크플로 생성.
의 워크플로 이름 필드에 사용자 지정 워크플로 이름(예: Panther 워크플로.
의 워크플로 트리거 상자에서 더하기 기호를 클릭한 다음 다음 옵션 중 하나를 선택하세요.
아래의 두 트리거를 모두 사용하려면 Upwind에서 두 개의 워크플로를 생성해야 합니다.
- 새 디텍션이 발견될 때: 이 워크플로는 지정된 심각도 중 하나를 가진 디텍션이 생성될 때만 트리거됩니다.
  - 하나 이상의 디텍션 심각도(Critical, High, Medium 및/또는 Low)를 선택하세요.
- 새 이벤트가 발견될 때: 이 워크플로는 지정된 카테고리 중 하나에 해당하는 이벤트가 발견될 때만 트리거됩니다.
  - 하나 이상의 이벤트 카테고리(Network, API Security, Process, Kubernetes audit logs, CloudTrail logs, Cloud Scanner, File, Syscall, Baseline 및/또는 Azure Activity Logs)를 선택하세요.
(선택 사항) 워크플로가 트리거되기 위해 통과해야 하는 필터를 추가하려면, 워크플로 선택자(선택 사항) 상자에서 더하기 기호를 클릭한 다음 + 선택자 추가.
1. 다음 옵션 중 하나에서 속성을 선택하세요:
  - 클라우드 계정: Upwind에 연결한 클라우드 계정
  - 리소스 이름: 특정 리소스 이름
  - 리소스 종류: 특정 유형의 리소스
2. 선택한 속성에 따라 값을 선택하세요.
워크플로 작업 구성:
1. 의 워크플로 작업 상자에서 더하기 기호를 클릭하세요.
2. 클릭 사용자 정의 웹훅으로 전송.
3. 의 웹훅 선택 드롭다운에서 2단계에서 정의한 Panther 웹훅을 선택하세요.
클릭 저장.

지원되는 로그 유형

Upwind.Detections

트리거(정책 위반) 및 관련 리소스 속성과 같은 포괄적인 세부 정보에 대한 액세스를 제공합니다.

자세한 내용은 Upwind 디텍션 개요 페이지를 참조하세요.

스키마: Upwind.Detections
설명: 맥락화된 위협 인텔리전스, 리소스 메타데이터, 심각도 분류, MITRE ATT&CK 매핑 및 클라우드 환경에 대한 정책 트리거된 이벤트 세부정보를 포함하는 Upwind 플랫폼이 생성한 구조화된 보안 디텍션 레코드입니다.
참조 URL: https://docs.upwind.io/restapi/v1/get-threat-detection
필드:
  - 이름: category
    설명: 이 디텍션의 카테고리입니다.
    필수: true
    유형: 문자열
  - 이름: description
    설명: 이 디텍션에 대한 자세한 설명입니다.
    유형: 문자열
  - 이름: first_seen_time
    설명: 이 디텍션이 처음 발견된 타임스탬프입니다.
    필수: true
    유형: 타임스탬프
    시간 형식:
      - rfc3339
  - 이름: id
    설명: 이 디텍션의 고유 식별자입니다.
    필수: true
    유형: 문자열
  - 이름: last_seen_time
    설명: 이 디텍션이 마지막으로 관찰된 타임스탬프입니다.
    필수: true
    isEventTime: true
    유형: 타임스탬프
    시간 형식:
      - rfc3339
  - 이름: links
    설명: 콘솔 URL과 같은 이 디텍션과 관련된 링크 목록입니다.
    유형: 배열
    요소:
      유형: 객체
      필드:
        - 이름: href
          설명: 관련 리소스의 URL입니다.
          유형: 문자열
          지표:
            - url
        - 이름: rel
          설명: 링크의 관계 유형입니다.
          유형: 문자열
  - 이름: mitre_attacks
    설명: 이 디텍션과 관련된 MITRE ATT&CK 프레임워크 정보입니다.
    유형: 배열
    요소:
      유형: 객체
      필드:
        - 이름: links
          설명: mitre 공격 설명을 가리키는 링크
          유형: 배열
          요소:
            유형: 객체
            필드:
              - 이름: href
                설명: 상세한 MITRE ATT&CK 정보로 연결되는 URL입니다.
                유형: 문자열
              - 이름: rel
                설명: 링크의 관계 유형입니다.
                유형: 문자열
        - 이름: tactic_id
          설명: 전술의 고유 식별자입니다.
          유형: 문자열
        - 이름: tactic_name
          설명: 전술의 이름입니다.
          유형: 문자열
        - 이름: technique_id
          설명: 기술의 고유 식별자입니다.
          유형: 문자열
          지표:
            - mitre_attack_technique
        - 이름: technique_name
          설명: 기술의 이름입니다.
          유형: 문자열
  - 이름: occurrence_count
    설명: 이 디텍션의 발생 횟수입니다.
    필수: true
    유형: bigint
  - 이름: resource
    설명: 이 디텍션과 관련된 리소스입니다.
    필수: true
    유형: 객체
    필드:
      - 이름: cloud_account_id
        설명: 이 리소스와 연관된 클라우드 계정의 고유 식별자입니다.
        유형: 문자열
        지표:
          - aws_account_id
      - 이름: cloud_account_name
        설명: 이 리소스와 연관된 클라우드 계정의 이름입니다.
        유형: 문자열
      - 이름: cloud_account_tags
        설명: 리소스가 속한 클라우드 계정과 연관된 태그 목록입니다.
        유형: 배열
        요소:
          유형: 객체
          필드:
            - 이름: key
              설명: 태그 키입니다.
              유형: 문자열
            - 이름: value
              설명: 태그 값입니다.
              유형: 문자열
      - 이름: cloud_provider
        설명: 이 리소스의 클라우드 제공자입니다.
        유형: 문자열
      - 이름: cluster_id
        설명: 이 리소스와 연관된 클러스터의 고유 식별자입니다.
        유형: 문자열
      - 이름: external_id
        설명: 이 리소스의 외부 고유 식별자입니다.
        유형: 문자열
        지표:
          - trace_id
      - 이름: id
        설명: 이 리소스의 고유 식별자입니다.
        유형: 문자열
      - 이름: internet_exposure
        설명: 리소스의 인터넷 노출에 대한 정보입니다.
        유형: 객체
        필드:
          - 이름: ingress
            설명: 리소스의 수신 인터넷 연관 통신 활동에 대한 정보입니다.
            유형: 객체
            필드:
              - 이름: active_communication
                설명: 리소스로 향하는 인터넷에서의 활성 수신 통신이 있는지 여부를 나타내는 지표입니다.
                유형: 불리언
      - 이름: name
        설명: 이 리소스의 이름입니다.
        유형: 문자열
      - 이름: namespace
        설명: 이 리소스가 존재하는 네임스페이스입니다
        유형: 문자열
      - 이름: region
        설명: 이 리소스가 위치한 리전입니다.
        유형: 문자열
      - 이름: risk_categories
        유형: 배열
        요소:
          유형: 문자열
      - 이름: type
        설명: 이 리소스의 유형입니다.
        유형: 문자열
      - 이름: upwind_asset_id
        설명: 이 리소스의 Upwind 자산 식별자입니다.
        유형: 문자열
  - 이름: severity
    설명: 이 디텍션의 심각도 수준입니다.
    유형: 문자열
  - 이름: status
    설명: 이 디텍션의 상태입니다.
    유형: 문자열
  - 이름: title
    설명: 이 디텍션의 제목입니다.
    필수: true
    유형: 문자열
  - 이름: triggers
    설명: 이 디텍션과 연관된 트리거 목록입니다. 각 트리거는 이 디텍션을 발생시킨 정책 위반을 나타냅니다. 트리거는 정책 식별자와 위반과 관련된 이벤트 목록으로 구성됩니다.
    유형: 배열
    요소:
      유형: 객체
      필드:
        - 이름: events
          설명: 이벤트 요약 목록입니다.
          유형: 배열
          요소:
            유형: 객체
            필드:
              - 이름: data
                설명: 디텍션 트리거와 관련된 구조화된 이벤트별 데이터입니다.
                유형: 객체
                필드:
                  - 이름: command
                    설명: 이 이벤트와 관련하여 실행된 명령입니다.
                    유형: 문자열
                  - 이름: description
                    설명: 이벤트별 데이터에 대한 자세한 설명입니다.
                    유형: 문자열
                  - 이름: execution_count
                    설명: 관련 명령 또는 활동이 실행된 횟수입니다.
                    유형: bigint
                  - 이름: last_process_tree
                    설명: 이벤트와 관련하여 최근에 관찰된 프로세스 실행 트리입니다.
                    유형: 배열
                    요소:
                      유형: 객체
                      필드:
                        - 이름: command
                          설명: 프로세스를 시작하는 데 사용된 전체 명령줄입니다.
                          유형: 문자열
                        - 이름: host_parent_process_id
                          설명: 호스트에서 부모 프로세스의 식별자입니다.
                          유형: bigint
                        - 이름: host_process_id
                          설명: 호스트에서의 프로세스 식별자입니다.
                          유형: bigint
                        - 이름: name
                          설명: 프로세스의 이름입니다.
                          유형: 문자열
                        - 이름: start_time
                          설명: 프로세스가 시작된 타임스탬프입니다.
                          유형: 타임스탬프
                          시간 형식:
                            - rfc3339
                  - 이름: name
                    설명: 이 이벤트 데이터와 연관된 이름입니다
                    유형: 문자열
                  - 이름: pattern
                    설명: 일치한 디텍션 패턴입니다.
                    유형: 문자열
                  - 이름: status
                    설명: 이벤트별 평가의 상태입니다.
                    유형: 문자열
                  - 이름: user_name
                    설명: 이벤트 활동과 연관된 사용자 이름입니다.
                    유형: 문자열
                    지표:
                      - username
                  - 이름: validation
                    설명: 디텍션과 관련된 검증 검사 또는 평가 결과 목록입니다.
                    유형: 배열
                    요소:
                      유형: 문자열
              - 이름: description
                설명: 이 이벤트의 설명입니다.
                유형: 문자열
              - 이름: endpointId
                설명: 이벤트가 발생한 엔드포인트의 식별자입니다.
                유형: 문자열
              - 이름: initiator
                설명: 이벤트를 시작한 주체에 대한 정보입니다.
                유형: 객체
                필드:
                  - 이름: accessKeyId
                    설명: 시작자가 사용한 액세스 키 ID입니다.
                    유형: 문자열
                  - 이름: accountId
                    설명: 시작자의 클라우드 계정 ID입니다.
                    유형: 문자열
                  - 이름: arn
                    설명: 시작자의 Amazon 리소스 이름(ARN)입니다.
                    유형: 문자열
                    지표:
                      - aws_arn
                  - 이름: name
                    설명: 시작 주체의 이름입니다.
                    유형: 문자열
                  - 이름: principalId
                    설명: 시작자의 주체 식별자입니다.
                    유형: 문자열
                  - 이름: type
                    설명: 시작 주체의 유형입니다
                    유형: 문자열
                  - 이름: userName
                    설명: 시작자의 사용자 이름입니다.
                    유형: 문자열
                    지표:
                      - username
              - 이름: timestamp
                설명: 이벤트가 발생한 타임스탬프입니다.
                유형: 타임스탬프
                시간 형식:
                  - rfc3339
              - 이름: type
                설명: 이벤트 유형입니다.
                유형: 문자열
        - 이름: policy_id
          설명: 정책의 고유 식별자입니다.
          유형: 문자열
        - 이름: policy_name
          설명: 정책의 이름입니다.
          유형: 문자열
  - 이름: type
    설명: 디텍션의 유형입니다.
    필수: true
    유형: 문자열
  - 이름: upwind_console_link
    설명: Upwind 콘솔에서 이 디텍션을 볼 수 있는 직접 URL 링크입니다.
    유형: 문자열
    지표:
      - url

이전Tracebit 로그 다음Windows 이벤트 로그

마지막 업데이트 2일 전

도움이 되었나요?

hashtag개요

hashtagUpwind 로그를 Panther에 온보드하는 방법

hashtag1단계: Panther에서 새 Upwind 소스 생성

hashtag2단계: Upwind에서 웹훅 구성

hashtag3단계: Upwind에서 워크플로 정의

hashtag지원되는 로그 유형

hashtagUpwind.Detections

개요