# Wiz 웹훅(베타) ## 개요 {% hint style="info" %} Wiz 웹훅 통합은 Panther 버전 1.116부터 오픈 베타로 제공되며, 모든 고객이 사용할 수 있습니다. 버그 보고서와 기능 요청은 Panther 지원 팀과 공유해 주세요. {% endhint %} Panther는 다음으로부터 실시간 웹훅 알림을 받을 수 있습니다 [Wiz](https://www.wiz.io/) Issues, Threats 및 Detections 이벤트를 포함합니다. 이 통합은 클라우드 인프라 전반의 보안 발견 사항에 대한 즉각적인 가시성을 제공하여 빠른 사고 대응을 가능하게 합니다. {% hint style="info" %} 서로 다른 유형의 Wiz 로그를 수집하려면 추가로 또는 대신 다음을 사용할 수 있습니다 [Wiz API 통합](https://docs.panther.com/data-onboarding/supported-logs/wiz/api). 이 통합을 통해 사용할 수 있는 Wiz.IssuesWebhook 이벤트와 [Wiz.Issues](https://docs.panther.com/data-onboarding/supported-logs/api#wiz.issues) 을 통해 사용할 수 있는 이벤트는 [Wiz API 통합](https://docs.panther.com/data-onboarding/supported-logs/wiz/api) 약간 다릅니다. {% endhint %} ## Wiz 웹훅 로그를 Panther에 온보딩하는 방법 ### 사전 요구 사항 * 이 통합을 설정하려면 Wiz 테넌트에 대한 액세스 권한과 웹훅을 생성할 권한이 있어야 합니다. * Threats 및 Detections 이벤트를 수신하려면 다음에 대한 구독이 있어야 합니다 [Wiz Defend](https://www.wiz.io/platform/wiz-defend). ### 1단계: Panther에서 새 Wiz 웹훅 로그 소스 생성 1. Panther Console의 왼쪽 탐색 모음에서 **구성** > **Log Sources**. 2. 클릭하세요. **새로 만들기.** 3. "Wiz Webhook"을 검색한 다음 해당 타일을 클릭합니다. 4. 슬라이드아웃 패널의 오른쪽 상단에서 다음을 클릭합니다 **설정 시작**.
A page in the Panther console with the trail Configure > Log Sources > Add New Source is shown, with a slide-out panel expanded with the title Wiz. An arrow is drawn to a "Start Setup" button.
5. Panther의 [HTTP Source 구성 지침을 따르세요](https://docs.panther.com/data-transports/http#how-to-set-up-an-http-log-source-in-panther), 5단계부터 시작합니다. * 다음을 위해 **인증 방법**, 그러면 다음 중 하나를 선택해야 합니다 [Basic](https://docs.panther.com/data-transports/http#basic) 또는 [Bearer](https://docs.panther.com/data-transports/http#bearer). * 이 소스로 전송되는 페이로드는 다음의 적용을 받습니다 [모든 HTTP 소스에 대한 페이로드 요구 사항](https://docs.panther.com/data-transports/http#payload-requirements). * HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요. ### 2단계: Wiz에서 웹훅 알림 구성 1. Wiz 콘솔에서 다음으로 이동합니다 **설정** > **통합**. 2. 클릭하세요. **통합 추가**. 3. 아래에서 **SIEM 및 자동화 도구**, 클릭 **웹훅**. 4. 에서 **새 통합** 페이지에서 다음 필드를 입력합니다: * **이름**: 웹훅에 대한 설명이 포함된 이름을 제공합니다. 예: `Panther 통합`. * **프로젝트 범위**: 포함하려는 범위를 선택합니다. * **URL**: 다음을 입력합니다 **을 1단계에서 Panther에서 생성한** Panther에서 생성한 값. * **인증:** 1단계에서 Panther에서 사용한 인증 유형을 선택하고 관련 자격 증명을 제공합니다. 5. 클릭하세요. **통합 추가**. ## Panther 관리형 디택션 보기 [Panther-managed](https://docs.panther.com/detections/panther-managed) 의 Wiz에 대한 룰 [panther-analysis GitHub 저장소](https://github.com/panther-labs/panther-analysis/tree/main/rules/wiz_rules). ## 지원되는 로그 유형 ### Wiz.IssuesWebhook Issues 로그는 취약점 발견 사항 및 보안 사고와 같은, 이슈와 관련된 Wiz의 주요 이벤트를 기록합니다. 이는 보안 취약점과 사고를 추적, 관리 및 해결하는 데 사용됩니다. ```yaml 스키마: Wiz.IssuesWebhook 설명: Issues 로그는 취약점 발견 사항 및 보안 사고와 같은, 이슈와 관련된 Wiz의 주요 이벤트를 기록합니다. 이는 보안 취약점과 사고를 추적, 관리 및 해결하는 데 사용됩니다. referenceURL: https://win.wiz.io/docs/issues-webhook 필드: - 이름: trigger required: true 유형: 객체 설명: 웹훅 이벤트를 트리거한 항목에 대한 정보를 포함합니다 필드: - 이름: source 유형: 문자열 설명: 트리거의 소스 - name: type 유형: 문자열 설명: 트리거 이벤트의 유형 - 이름: ruleId 유형: 문자열 설명: 자동화 룰의 ID - 이름: ruleName 유형: 문자열 설명: 자동화 룰의 이름 - 이름: updatedFields 유형: 문자열 설명: 업데이트된 필드 목록 - 이름: changedBy 유형: 문자열 설명: 변경을 시작한 사용자 지표: - 사용자 이름 - 이름: triggeredBy 유형: 문자열 설명: 작업을 실행한 사용자 또는 자동화 룰 - 이름: issue required: true 유형: 객체 설명: 트리거된 이슈에 대한 정보를 포함합니다 필드: - 이름: id 유형: 문자열 설명: Issue의 고유 식별자 - 이름: status 유형: 문자열 설명: Issue의 현재 상태 - 이름: severity 유형: 문자열 설명: Issue의 심각도 수준 - 이름: created 유형: 타임스탬프 시간 형식: - rfc3339 설명: 생성 타임스탬프 isEventTime: true - 이름: projects 유형: 문자열 설명: 이슈와 연결된 프로젝트 - 이름: evidence 유형: JSON 설명: 증거 세부 정보(아래 참고) - 이름: link 유형: 문자열 지표: - url 설명: Wiz의 이슈로 직접 연결되는 링크 - name: resource required: true 유형: 객체 설명: 영향을 받은 클라우드 리소스를 나타냅니다 필드: - 이름: id 유형: 문자열 설명: 클라우드 공급자의 리소스 ID - 이름: name 유형: 문자열 설명: 리소스 이름 - name: type 유형: 문자열 설명: 네이티브 리소스 유형 - 이름: resourceType 유형: 문자열 설명: 리소스 유형 - 이름: cloudPlatform 유형: 문자열 설명: 클라우드 플랫폼 식별자 - 이름: subscriptionId 유형: 문자열 설명: 구독 ID - 이름: subscriptionName 유형: 문자열 설명: 구독 이름 - 이름: subscriptionTags 유형: JSON 설명: 구독과 연결된 태그 - name: region 유형: 문자열 설명: 리소스 리전 - 이름: status 유형: 문자열 설명: 리소스 상태 - 이름: cloudProviderURL 유형: 문자열 지표: - url 설명: 클라우드 콘솔의 리소스로 연결되는 URL - 이름: resourceGroupId 유형: 문자열 설명: 리소스 그룹 ID - 이름: tags 유형: JSON 설명: 리소스와 연결된 태그 - 이름: externalId 유형: 문자열 설명: 외부 식별자 - 이름: created 유형: 타임스탬프 시간 형식: - rfc3339 설명: 기본 리소스의 생성 시간 - 이름: kubernetesClusterId 유형: 문자열 설명: K8s 클러스터 ID - 이름: kubernetesClusterName 유형: 문자열 설명: K8s 클러스터 이름 - 이름: kubernetesNamespaceName 유형: 문자열 설명: K8s 네임스페이스 이름 - 이름: containerServiceId 유형: 문자열 설명: 컨테이너 서비스 ID - 이름: containerServiceName 유형: 문자열 설명: 컨테이너 서비스 이름 - 이름: originalJson 유형: JSON 설명: 클라우드 공급자의 원본 JSON - 이름: control required: true 유형: 객체 설명: Issue를 생성한 Control을 나타냅니다 필드: - 이름: id 유형: 문자열 설명: Control 식별자 - 이름: name 유형: 문자열 설명: Control 이름 - 이름: description 유형: 문자열 설명: Control 설명 - 이름: severity 유형: 문자열 설명: Control 심각도 수준 - 이름: risks 유형: JSON 설명: 연관된 위험 - 이름: resolutionRecommendation 유형: 문자열 설명: 해결 권장 사항 - 이름: resolutionRecommendationPlainText 유형: 문자열 설명: 일반 텍스트 해결 권장 사항 - 이름: sourceCloudConfigurationRuleId 유형: 문자열 설명: 소스 클라우드 구성 룰 ID - 이름: sourceCloudConfigurationRuleName 유형: 문자열 설명: 소스 클라우드 구성 룰 이름 ``` ### Wiz.Threats Threats 로그는 위협 디택션 이벤트에 대한 웹훅 알림을 기록합니다. 이는 클라우드 인프라 전반에서 활성 위협, 악의적 활동 및 보안 사고를 추적하는 데 도움이 됩니다. ```yaml 스키마: Wiz.Threats 설명: Threats 로그는 취약점 발견 사항 및 보안 사고와 같은, 위협과 관련된 Wiz의 주요 이벤트를 기록합니다. 이는 보안 취약점과 사고를 추적, 관리 및 해결하는 데 사용됩니다. referenceURL: https://win.wiz.io/docs/threats-webhook 필드: - 이름: trigger required: true 유형: 객체 설명: 웹훅을 트리거한 이벤트에 대한 정보를 포함합니다 필드: - 이름: source 유형: 문자열 설명: 트리거의 소스입니다. 이 웹훅의 경우 값은 항상 THREATS입니다 - name: type 유형: 문자열 설명: 트리거 유형입니다. 예: 수동 트리거 또는 룰 트리거 - 이름: ruleId 유형: 문자열 설명: 룰에 의해 트리거된 경우 해당 룰의 고유 식별자 - 이름: ruleName 유형: 문자열 설명: 트리거의 이름입니다. 예: Manual 또는 자동화 룰의 이름 - 이름: updatedFields 유형: 문자열 설명: 변경되어 웹훅을 트리거한 필드에 대한 설명 - 이름: changedBy 유형: 문자열 설명: 변경을 시작한 사용자 또는 시스템 - 이름: threat required: true 유형: 객체 설명: 내보낸 Threat의 모든 세부 정보를 포함하는 기본 객체 필드: - 이름: id 유형: 문자열 설명: Threat의 고유 식별자 - name: title 유형: 문자열 설명: Threat의 제목 - 이름: description 유형: 문자열 설명: Threat에 대한 자세한 설명 - 이름: status 유형: 문자열 설명: Threat의 현재 상태(예: IN_PROGRESS, RESOLVED) - 이름: severity 유형: 문자열 설명: Threat의 심각도 수준(예: CRITICAL, HIGH) - 이름: created 유형: 타임스탬프 시간 형식: - rfc3339 isEventTime: true 설명: Threat가 생성된 시점의 ISO 8601 타임스탬프 - 이름: resolutionNote 유형: 문자열 설명: Threat가 해결되었을 때 추가된 메모 - 이름: projects 유형: 문자열 설명: Threat와 연결된 프로젝트의 쉼표로 구분된 목록 - 이름: threatURL 유형: 문자열 지표: - url 설명: UI의 Threat로 직접 연결되는 URL - 이름: resolvedAt 유형: 타임스탬프 시간 형식: - rfc3339 설명: Threat가 해결된 시점의 ISO 8601 타임스탬프 - 이름: updatedAt 유형: 타임스탬프 시간 형식: - rfc3339 설명: Threat가 마지막으로 업데이트된 시점의 ISO 8601 타임스탬프 - 이름: cloudPlatform 유형: 문자열 설명: Threat가 디택션된 클라우드 플랫폼(예: Azure, AWS) - 이름: cloudAccounts 유형: 배열 설명: 연결된 클라우드 계정 목록 요소: 유형: 객체 필드: - 이름: id 유형: 문자열 설명: 클라우드 계정의 고유 식별자 - 이름: name 유형: 문자열 설명: 클라우드 계정의 이름 - 이름: cloudOrganizations 유형: 배열 설명: 연결된 클라우드 조직 목록 요소: 유형: 객체 필드: - 이름: id 유형: 문자열 설명: 클라우드 조직의 고유 식별자 - 이름: name 유형: 문자열 설명: 클라우드 조직의 이름 - 이름: actors 유형: 배열 설명: Threat에 관련된 액터 목록 요소: 유형: 객체 필드: - 이름: externalId 유형: 문자열 설명: 클라우드 공급자에서 정의된 액터의 ID - 이름: id 유형: 문자열 설명: 액터의 내부 고유 식별자 지표: - actor_id - 이름: name 유형: 문자열 설명: 액터의 이름 - 이름: nativeType 유형: 문자열 설명: 클라우드 공급자 관점에서의 액터의 구체적인 유형 - name: type 유형: 문자열 설명: 액터의 일반 유형(예: 서비스 계정) - 이름: resources 유형: 배열 설명: Threat에 관련된 리소스 목록 요소: 유형: 객체 필드: - 이름: name 유형: 문자열 설명: 리소스의 이름 - 이름: externalId 유형: 문자열 설명: 클라우드 공급자의 전체 리소스 식별자 - 이름: id 유형: 문자열 설명: 리소스의 내부 고유 식별자 - 이름: nativeType 유형: 문자열 설명: 클라우드 공급자 관점에서의 리소스의 구체적인 유형 - name: type 유형: 문자열 설명: 리소스의 일반 유형(예: 가상 머신) - 이름: tdrNames 유형: 문자열 설명: 기반이 되는 디택션 룰 이름의 쉼표로 구분된 목록 - 이름: detectionIds 유형: 문자열 설명: 기반이 되는 디택션 ID의 쉼표로 구분된 목록 - 이름: mitreTechniques 유형: 배열 설명: MITRE ATT&CK 기법 ID 목록 요소: 유형: 문자열 지표: - mitre_attack_technique - 이름: mitreTactics 유형: 배열 설명: MITRE ATT&CK 전술 ID 목록 요소: 유형: 문자열 지표: - mitre_attack_technique - 이름: notes 유형: 문자열 설명: Threat에 추가된 메모의 쉼표로 구분된 목록 ``` ### Wiz.Detections Detections 로그는 보안 디택션 발견 사항에 대한 웹훅 알림을 캡처합니다. 여기에는 보안 룰, 이상 징후 디택션 및 행위 분석의 알림이 포함됩니다. ```yaml 스키마: Wiz.Detections 설명: Detections 로그는 취약점 발견 사항 및 보안 사고와 같은, 디택션과 관련된 Wiz의 주요 이벤트를 기록합니다. 이는 보안 취약점과 사고를 추적, 관리 및 해결하는 데 사용됩니다. referenceURL: https://win.wiz.io/docs/detections-webhook 필드: - 이름: trigger required: true 유형: 객체 설명: 소스, 유형, ruleId 및 ruleName을 포함한 트리거 세부 정보 필드: - 이름: source 유형: 문자열 설명: 트리거의 소스 - name: type 유형: 문자열 설명: 트리거 이벤트의 유형 - 이름: ruleId 유형: 문자열 설명: 자동화 룰의 ID - 이름: ruleName 유형: 문자열 설명: 자동화 룰의 이름 - 이름: id required: true 유형: 문자열 설명: 디택션의 고유 식별자 - 이름: threatId required: true 유형: 문자열 설명: 연결된 위협의 ID - 이름: threatURL required: true 유형: 문자열 지표: - url 설명: 위협에 대한 더 많은 세부 정보로 연결되는 URL - name: title 유형: 문자열 설명: 디택션의 제목 또는 요약 - 이름: description 유형: 문자열 설명: 디택션에 대한 더 많은 세부 정보를 제공하는 설명 - 이름: severity 유형: 문자열 설명: 디택션의 심각도 수준 - 이름: createdAt 유형: 타임스탬프 시간 형식: - rfc3339 isEventTime: true 설명: 디택션이 생성된 시점의 ISO8601 타임스탬프 - 이름: tdrId 유형: 문자열 설명: TDR 식별자 - 이름: tdrSource 유형: 문자열 설명: TDR 소스 - 이름: mitreTactics 유형: 배열 요소: 유형: 문자열 설명: 디택션과 관련된 MITRE 전술 - 이름: mitreTechniques 유형: 배열 요소: 유형: 문자열 설명: 디택션과 관련된 MITRE 기법 - 이름: cloudAccounts 유형: 배열 설명: 연결된 클라우드 계정 목록 요소: 유형: 객체 필드: - 이름: cloudPlatform 유형: 문자열 설명: 클라우드 공급자의 이름 - 이름: externalId 유형: bigint 설명: 클라우드 계정의 외부 ID - 이름: id 유형: 문자열 설명: 클라우드 계정의 ID - 이름: name 유형: 문자열 설명: 클라우드 계정 이름 - 이름: cloudOrganizations 유형: 배열 설명: 연결된 클라우드 조직 목록 요소: 유형: 객체 필드: - 이름: cloudPlatform 유형: 문자열 설명: 클라우드 공급자의 이름 - 이름: externalId 유형: bigint 설명: 클라우드 조직의 외부 ID - 이름: id 유형: 문자열 설명: 클라우드 조직의 ID - 이름: name 유형: 문자열 설명: 클라우드 조직의 이름 - 이름: timeframe 유형: 객체 설명: 디택션 기간의 시작 및 종료 타임스탬프를 포함하는 객체 필드: - 이름: start 유형: 타임스탬프 시간 형식: - rfc3339 설명: 디택션 기간의 시작 타임스탬프 - 이름: 종료 유형: 타임스탬프 시간 형식: - rfc3339 설명: 디택션 기간의 종료 타임스탬프 - 이름: actors 유형: 배열 설명: 액터 세부 정보 목록 요소: 유형: 객체 필드: - 이름: externalId 유형: 문자열 설명: 외부 ID - 이름: id 유형: 문자열 설명: 액터 ID - 이름: providerUniqueId 유형: 문자열 설명: 공급자의 고유 식별자. - 이름: name 유형: 문자열 설명: 액터의 이름 - 이름: nativeType 유형: 문자열 설명: 네이티브 유형 분류 - name: type 유형: 문자열 설명: 액터의 유형 - 이름: actingAs 유형: 객체 설명: 다음으로 활동하는 액터 필드: - 이름: externalId 유형: 문자열 설명: 외부 ID - 이름: id 유형: 문자열 설명: 액터 ID - 이름: name 유형: 문자열 설명: 액터의 이름 - 이름: nativeType 유형: 문자열 설명: 네이티브 유형 분류 - name: type 유형: 문자열 설명: 액터의 유형 - name: email 유형: 문자열 설명: 액터의 이메일 - 이름: primaryActor 유형: 객체 설명: 디택션과 연결된 기본 액터 필드: - 이름: externalId 유형: 문자열 설명: 외부 ID - 이름: id 유형: 문자열 설명: 액터 ID 지표: - actor_id - 이름: providerUniqueId 유형: 문자열 설명: 공급자의 고유 식별자. - 이름: name 유형: 문자열 설명: 액터의 이름 - 이름: nativeType 유형: 문자열 설명: 네이티브 유형 분류 - name: type 유형: 문자열 설명: 액터의 유형 - 이름: actingAs 유형: 객체 설명: 다음으로 활동하는 액터 필드: - 이름: externalId 유형: 문자열 설명: 외부 ID - 이름: id 유형: 문자열 설명: 액터 ID - 이름: name 유형: 문자열 설명: 액터의 이름 - 이름: nativeType 유형: 문자열 설명: 네이티브 유형 분류 - name: type 유형: 문자열 설명: 액터의 유형 - name: email 유형: 문자열 설명: 액터의 이메일 - 이름: resources 유형: 배열 설명: 리소스 세부 정보 목록 요소: 유형: 객체 필드: - 이름: cloudAccount 유형: 객체 설명: 연결된 클라우드 계정 정보 필드: - 이름: cloudPlatform 유형: 문자열 설명: 클라우드 공급자의 이름 - 이름: externalId 유형: bigint 설명: 클라우드 계정의 외부 ID - 이름: id 유형: 문자열 설명: 클라우드 계정의 ID - 이름: name 유형: 문자열 설명: 클라우드 계정 이름 - 이름: externalId 유형: 문자열 설명: 외부 ID - 이름: id 유형: 문자열 설명: 리소스 ID - 이름: providerUniqueId 유형: 문자열 설명: 공급자의 고유 식별자. - 이름: name 유형: 문자열 설명: 리소스 이름 - 이름: nativeType 유형: 문자열 설명: 네이티브 유형 분류 - name: region 유형: 문자열 설명: 지리적 리전 - 이름: status 유형: 문자열 설명: 이벤트의 상태리소스의 현재 상태 - name: type 유형: 문자열 설명: 리소스 유형 - 이름: kubernetesNodeId 유형: 문자열 설명: Kubernetes 노드 ID - 이름: kubernetesNodeName 유형: 문자열 설명: Kubernetes 노드 이름 - 이름: kubernetesNamespaceId 유형: 문자열 설명: Kubernetes 네임스페이스 ID - 이름: kubernetesNamespaceName 유형: 문자열 설명: Kubernetes 네임스페이스 이름 - 이름: kubernetesClusterId 유형: 문자열 설명: Kubernetes 클러스터의 ID - 이름: kubernetesClusterName 유형: 문자열 설명: Kubernetes 클러스터의 이름 - 이름: cloudProviderUrl 유형: 문자열 설명: 클라우드 공급자 콘솔의 리소스로 연결되는 URL. 지표: - url - 이름: primaryResource 유형: 객체 설명: 디택션과 연결된 기본 리소스 필드: - 이름: cloudAccount 유형: 객체 설명: 연결된 클라우드 계정 정보 필드: - 이름: cloudPlatform 유형: 문자열 설명: 클라우드 공급자의 이름 - 이름: externalId 유형: bigint 설명: 클라우드 계정의 외부 ID - 이름: id 유형: 문자열 설명: 클라우드 계정의 ID - 이름: name 유형: 문자열 설명: 클라우드 계정 이름 - 이름: externalId 유형: 문자열 설명: 외부 ID - 이름: id 유형: 문자열 설명: 리소스 ID - 이름: providerUniqueId 유형: 문자열 설명: 공급자의 고유 식별자. - 이름: name 유형: 문자열 설명: 리소스 이름 - 이름: nativeType 유형: 문자열 설명: 네이티브 유형 분류 - name: region 유형: 문자열 설명: 지리적 리전 - 이름: status 유형: 문자열 설명: 이벤트의 상태리소스의 현재 상태 - name: type 유형: 문자열 설명: 리소스 유형 - 이름: kubernetesNodeId 유형: 문자열 설명: Kubernetes 노드 ID - 이름: kubernetesNodeName 유형: 문자열 설명: Kubernetes 노드 이름 - 이름: kubernetesNamespaceId 유형: 문자열 설명: Kubernetes 네임스페이스 ID - 이름: kubernetesNamespaceName 유형: 문자열 설명: Kubernetes 네임스페이스 이름 - 이름: kubernetesClusterId 유형: 문자열 설명: Kubernetes 클러스터의 ID - 이름: kubernetesClusterName 유형: 문자열 설명: Kubernetes 클러스터의 이름 - 이름: cloudProviderUrl 유형: 문자열 설명: 클라우드 공급자 콘솔의 리소스로 연결되는 URL. 지표: - url - 이름: triggeringEventsCount 유형: bigint 설명: 디택션을 트리거한 이벤트 수 - 이름: triggeringEvents 유형: 배열 설명: 이벤트 세부 정보 목록 요소: 유형: 객체 필드: - name: actor 유형: 객체 설명: 이벤트와 연결된 액터 필드: - 이름: externalId 유형: 문자열 설명: 외부 ID - 이름: id 유형: 문자열 설명: 액터 ID 지표: - actor_id - 이름: providerUniqueId 유형: 문자열 설명: 공급자의 고유 식별자. - 이름: name 유형: 문자열 설명: 액터의 이름 - 이름: nativeType 유형: 문자열 설명: 네이티브 유형 분류 - name: type 유형: 문자열 설명: 액터의 유형 - 이름: actingAs 유형: 객체 설명: 다음으로 활동하는 액터 필드: - 이름: externalId 유형: 문자열 설명: 외부 ID - 이름: id 유형: 문자열 설명: 액터 ID - 이름: name 유형: 문자열 설명: 액터의 이름 - 이름: nativeType 유형: 문자열 설명: 네이티브 유형 분류 - name: type 유형: 문자열 설명: 액터의 유형 - name: email 유형: 문자열 설명: 액터의 이메일 지표: - email - 이름: actorIP 유형: 문자열 지표: - ip 설명: 액터의 IP 주소 - 이름: actorIPMeta 유형: 객체 설명: IP 정보를 포함하는 메타데이터 객체 필드: - 이름: autonomousSystemNumber 유형: bigint 설명: ASN 번호 - 이름: autonomousSystemOrganization 유형: 문자열 설명: ASN과 연결된 조직(ASO) - 이름: country 유형: 문자열 설명: IP의 원산지 국가 - 이름: isForeign 유형: 불리언 설명: IP가 해외 소스에서 온 것인지 여부 - 이름: reputation 유형: 문자열 설명: IP 평판 등급 - 이름: reputationSource 유형: 문자열 설명: 평판 데이터의 소스 - 이름: reputationDescription 유형: 문자열 설명: IP 평판에 대한 설명 - 이름: relatedAttackGroupNames 유형: JSON 설명: IP와 연결된 공격 그룹 - 이름: customIPRanges 유형: JSON 설명: 사용자 지정 IP 범위 정의를 포함하는 객체 - 이름: category 유형: 문자열 설명: 이벤트 카테고리 - 이름: cloudPlatform 유형: 문자열 설명: 이벤트가 발생한 클라우드 플랫폼 - 이름: cloudProviderUrl 유형: 문자열 지표: - url 설명: 클라우드 공급자 콘솔의 이벤트로 연결되는 URL - 이름: description 유형: 문자열 설명: 이벤트 설명 - name: eventTime 유형: 타임스탬프 시간 형식: - rfc3339 설명: 이벤트가 발생한 시점의 ISO8601 타임스탬프 - 이름: externalId 유형: 문자열 설명: 이벤트의 외부 ID - 이름: id 유형: 문자열 설명: 이벤트 ID - 이름: name 유형: 문자열 설명: 이벤트 이름 - 이름: origin 유형: 문자열 설명: 이벤트의 출처 - 이름: resources 유형: 배열 설명: 이벤트의 영향을 받은 리소스 객체 요소: 유형: 객체 필드: - 이름: cloudAccount 유형: 객체 설명: 연결된 클라우드 계정 정보 필드: - 이름: cloudPlatform 유형: 문자열 설명: 클라우드 공급자의 이름 - 이름: externalId 유형: bigint 설명: 클라우드 계정의 외부 ID - 이름: id 유형: 문자열 설명: 클라우드 계정의 ID - 이름: name 유형: 문자열 설명: 클라우드 계정 이름 - 이름: externalId 유형: 문자열 설명: 외부 ID - 이름: id 유형: 문자열 설명: 리소스 ID - 이름: providerUniqueId 유형: 문자열 설명: 공급자의 고유 식별자. - 이름: name 유형: 문자열 설명: 리소스 이름 - 이름: nativeType 유형: 문자열 설명: 네이티브 유형 분류 - name: region 유형: 문자열 설명: 지리적 리전 - 이름: status 유형: 문자열 설명: 이벤트의 상태리소스의 현재 상태 - name: type 유형: 문자열 설명: 리소스 유형 - 이름: kubernetesNodeId 유형: 문자열 설명: Kubernetes 노드 ID - 이름: kubernetesNodeName 유형: 문자열 설명: Kubernetes 노드 이름 - 이름: kubernetesNamespaceId 유형: 문자열 설명: Kubernetes 네임스페이스 ID - 이름: kubernetesNamespaceName 유형: 문자열 설명: Kubernetes 네임스페이스 이름 - 이름: kubernetesClusterId 유형: 문자열 설명: Kubernetes 클러스터의 ID - 이름: kubernetesClusterName 유형: 문자열 설명: Kubernetes 클러스터의 이름 - 이름: cloudProviderUrl 유형: 문자열 설명: 클라우드 공급자 콘솔의 리소스로 연결되는 URL. 지표: - url - 이름: runtimeDetails 유형: 객체 설명: 이벤트의 런타임 세부 정보 필드: - 이름: processTree 유형: 배열 설명: 이벤트로 이어지는 프로세스 트리 요소: 유형: 객체 필드: - name: command 유형: 문자열 설명: 프로세스 명령줄 - 이름: container 유형: 객체 설명: id, 이름 및 이미지 세부 정보를 포함한 컨테이너 메타데이터 필드: - 이름: externalId 유형: 문자열 설명: 컨테이너 외부 ID - 이름: id 유형: 문자열 설명: 컨테이너 ID - 이름: imageExternalId 유형: 문자열 설명: 이미지 외부 ID - 이름: imageId 유형: 문자열 설명: 이미지 ID - 이름: name 유형: 문자열 설명: 컨테이너 이름 - 이름: executionTime 유형: 타임스탬프 시간 형식: - rfc3339 설명: 프로세스가 실행된 시점의 ISO8601 타임스탬프 - 이름: hash 유형: 문자열 지표: - sha1 설명: 실행 파일 SHA1 해시 - 이름: id 유형: 문자열 설명: 프로세스 ID - 이름: path 유형: 문자열 설명: 실행 파일 경로 - 이름: size 유형: bigint 설명: 바이트 단위의 실행 파일 크기 - name: userId 유형: 문자열 설명: 프로세스를 실행한 사용자 ID - 이름: username 유형: 문자열 설명: 프로세스를 실행한 사용자 이름 지표: - 사용자 이름 - 이름: source 유형: 문자열 설명: 이벤트의 소스 - 이름: subjectResourceId 유형: 문자열 설명: 기본 영향 리소스의 ID - 이름: subjectResourceIp 유형: 문자열 설명: 기본 영향 리소스의 IP 지표: - ip - 이름: status 유형: 문자열 설명: 이벤트의 상태 ```