Windows 이벤트 로그

Windows 이벤트 로그를 HTTPS를 통해 Panther로 직접 스트리밍하세요

개요

Panther는 다음을 통해 Windows 이벤트 로그 수집을 지원합니다 HTTP 소스로 전달된 후 Fluent Bit.

Windows 이벤트 로그를 Panther에 온보딩하는 방법

1단계: Panther에서 새 Windows 이벤트 로그 소스 생성

Panther 콘솔의 왼쪽 탐색 바에서 클릭하세요 구성 > 로그 소스.
클릭 새로 만들기.
“Windows Event Logs”를 검색한 다음 해당 타일을 클릭하세요.
- 슬라이드아웃 패널에서 전송 메커니즘 오른쪽 상단의 드롭다운은 미리 채워져 있습니다 HTTP 옵션.
클릭 설정 시작.
Panther의 HTTP 소스 구성에 대한 지침을(를) 따르십시오. 5단계에서 시작합니다.
- 을 설정할 때 인증 방법 소스에 대해서는 다음을 사용하는 것을 권장합니다 공유 비밀(Shared Secret).
- 이 소스로 전송되는 페이로드는 모든 HTTP 소스에 대한 페이로드 요구사항.

HTTP 소스를 생성한 후 Panther 콘솔에 HTTP 소스 URL이 표시됩니다. 다음 단계에서 필요하므로 이 값을 안전한 장소에 저장하세요.

2단계: Windows에서 Fluent Bit 구성

다음을 따르세요 Fluent Bit 시작 안내 Fluent Bit를 서비스로 설치하려면.
생성합니다 Fluent Bit 구성 파일에 존재할 것입니다. 자세한 내용은 아래 예시 System 및 Security 로그 스트리밍 또는 Sysmon 로그 스트리밍 구성에 대한 지침.
- 다음을 사용해야 합니다 winevtlog. 다른 모듈은 더 이상 지원되지 않으며 작동하지 않습니다.
- Windows Server 2012를 사용하는 경우, Use_ANSI True 가 필요할 수 있습니다.
- 1단계에서 JSON 를 HTTP 소스의 적절한에서, OUTPUT 섹션으로 선택했다면, Format 에 다음 값을 json_lines.
새 구성 파일의 경로를 전달하여 Fluent Bit를 시작하십시오.
- 기계가 시작될 때마다 Fluent Bit을 데몬으로 실행하려면 다음을 따르세요 Windows 서비스 지침.

Fluent Bit 구성 파일 예시

시스템 및 보안 로그 수집

Fluent Bit 구성 파일에 다음을 구성하세요:

[INPUT] 변수:
- Channels: 이를 다음으로 설정 System,Security
[OUTPUT] 변수:
- 아래에 다음 필드를 설정하세요:: Panther URL을 입력하십시오.
  - 예시: logs.instance-name.runpanther.net
- URI: HTTP 소스 수집 URL의 끝 부분(이 프로세스의 1단계에서 생성된), 로 시작하는 값을 입력하십시오 /http/.
  - 예시: /http/cb015ee4-543c-4489-9f4b-testaa16d7a
- 헤더: Panther 콘솔에서 1단계로 HTTP 소스를 구성할 때 생성한 헤더 이름과 생성한 비밀을 입력하십시오.
- 이름: 다음으로 설정 http.
- TLS: 다음으로 설정 켜기.
- 단계 2에서 Panther에서 생성한: 다음으로 설정 443.

[SERVICE]
    Flush 5
    Daemon off
    Log_Level info

[INPUT]
    Name         winevtlog
    Channels     System,Security
    Interval_Sec 1
    DB           winevtlog.sqlite

[OUTPUT]
    Name         http
    Match        *
    Host         logs.instance-name.runpanther.net
    Port         443
    URI          /http/cb015ee4-543c-4489-9f4b-testaa16d7a
    Header       x-sender-header {YOUR_SECRET_HERE}
    Format       json_lines
    TLS          On
    TLS.Verify   On

Sysmon 로그 수집

구성 sysmon.exe 다음을 따르며 SwiftOnSecurity의 가이드.
- 이 프로세스는 Fluent Bit이 Panther로 전송할 Windows 이벤트 로그를 생성합니다.
Fluent Bit 구성 파일에 다음을 구성하세요:
- [INPUT] 변수:
  - Channels: 이를 다음으로 설정 Microsoft-Windows-Sysmon/Operational
- [OUTPUT] 변수:
  - 아래에 다음 필드를 설정하세요:: Panther URL을 입력하십시오.
    예시: logs.instance-name.runpanther.net
  - URI: HTTP 소스 수집 URL의 끝 부분(이 프로세스의 1단계에서 생성된), 로 시작하는 값을 입력하십시오 /http/.
    예시: /http/cb015ee4-543c-4489-9f4b-testaa16d7a
  - 헤더: Panther 콘솔에서 1단계로 HTTP 소스를 구성할 때 생성한 헤더 이름과 생성한 비밀을 입력하십시오.
  - 이름: 다음으로 설정 http.
  - TLS: 다음으로 설정 켜기.
  - 단계 2에서 Panther에서 생성한: 다음으로 설정 443.

[SERVICE]
    Flush 5
    Daemon on
    Log_Level info

[INPUT]
    Name         winevtlog
    Channels     Microsoft-Windows-Sysmon/Operational
    Interval_Sec 1
    DB           winevtlog.sqlite

[OUTPUT]
    Name         http
    Match        *
    Host         logs.instance-name.runpanther.net
    Port         443
    URI          /http/cb015ee4-543c-4489-9f4b-testaa16d7a
    Header       x-sender-header {YOUR_SECRET_HERE}
    Format       json_lines
    TLS          On
    TLS.Verify   On

지원되는 로그 유형

Windows.EventLogs

schema: Windows.EventLogs
description: Windows 이벤트 로그
referenceURL: https://learn.microsoft.com/en-us/windows/win32/wes/eventschema-elements
필드:
  - name: ProcessID
    description: 이벤트를 생성한 프로세스를 식별합니다.
    type: string
  - name: ThreadID
    description: 이벤트를 생성한 스레드를 식별합니다.
    type: string
  - name: TimeCreated
    description: 이벤트가 기록된 시점을 나타내는 타임스탬프입니다.
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S %z'
    isEventTime: true
  - name: EventID
    description: 공급자가 이벤트를 식별하기 위해 사용한 식별자입니다.
    type: string
  - name: ProviderName
    description: 이벤트를 기록한 이벤트 공급자의 이름입니다.
    type: string
  - name: ProviderGuid
    description: 공급자를 고유하게 식별하는 전역 고유 식별자입니다.
    type: string
  - name: Qualifiers
    description: 레거시 공급자는 이벤트를 식별하기 위해 32비트 숫자를 사용합니다. 이벤트가 레거시 공급자에 의해 기록된 경우 EventID 요소의 값은 이벤트 식별자의 저위 16비트를 포함하고 Qualifier 속성은 이벤트 식별자의 상위 16비트를 포함합니다.
    type: string
  - name: Version
    description: 이벤트 정의의 버전 번호입니다.
    type: string
  - name: Level
    description: 이벤트에 정의된 심각도 수준입니다.
    type: string
  - name: Task
    description: 이벤트에 정의된 작업(Task)입니다. Task와 opcode는 일반적으로 이벤트가 기록된 애플리케이션의 위치를 식별하는 데 사용됩니다.
    type: string
  - name: Opcode
    description: 이벤트에 정의된 opcode입니다. Task와 opcode는 일반적으로 이벤트가 기록된 애플리케이션의 위치를 식별하는 데 사용됩니다.
    type: string
  - name: Keywords
    description: 이벤트에 정의된 키워드의 비트마스크입니다. 키워드는 이벤트 유형을 분류하는 데 사용됩니다(예: 데이터 읽기와 관련된 이벤트).
    type: string
  - name: EventRecordID
    description: 이벤트가 기록될 때 할당된 레코드 번호입니다.
    type: string
  - name: ActivityID
    description: 현재 활동을 식별하는 전역 고유 식별자입니다. 이 식별자로 게시된 이벤트들은 동일한 활동의 일부입니다.
    type: string
    지표:
      - trace_id
  - name: RelatedActivityID
    description: 제어가 전달된 활동을 식별하는 전역 고유 식별자입니다. 관련 이벤트는 이 식별자를 ActivityID 식별자로 갖게 됩니다.
    type: string
  - name: Channel
    description: 이벤트가 기록된 채널입니다.
    type: string
  - name: Computer
    description: 이벤트가 발생한 컴퓨터의 이름입니다.
    type: string
    지표:
      - username
  - name: UserID
    description: 문자열 형태의 사용자 보안 식별자(SID)입니다.
    type: string
    지표:
      - username
  - name: Message
    description: 이벤트의 렌더링된 메시지 문자열입니다.
    type: string
  - name: StringInserts
    description: 임의의 이벤트별 데이터 목록입니다. fluent-bit에서 생성됩니다
    유형: json
  - name: ExtraEventData
    description: Message 필드에서 추출된 추가 키-값 쌍 맵입니다. 이는 구조화된 쿼리/탐지 규칙 작성을 쉽게 하기 위해 Panther에서 추가한 필드입니다.
    유형: json

PreviousTracebit 로그 NextWiz 로그

Last updated 1 year ago

Was this helpful?

hashtag개요

hashtagWindows 이벤트 로그를 Panther에 온보딩하는 방법

hashtag1단계: Panther에서 새 Windows 이벤트 로그 소스 생성

hashtag2단계: Windows에서 Fluent Bit 구성

hashtagFluent Bit 구성 파일 예시

hashtag지원되는 로그 유형

hashtagWindows.EventLogs

개요