Zeek 로그

Zeek 로그를 Panther 콘솔에 연결하기

개요

Panther는 일반적인 방식을 통해 Zeek 로그 수집을 지원합니다 데이터 전송 옵션: Amazon Web Services(AWS) S3 및 SQS를 통한 Fastly 로그 수집을 지원합니다.

Zeek 로그를 Panther에 온보딩하는 방법

이 로그를 Panther로 가져오려면:

Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.
온보딩하려는 로그 유형을 검색한 다음 해당 타일을 클릭하세요.
이 통합에 사용할 데이터 전송 방법을 선택한 다음 해당 방법을 구성하기 위한 Panther의 지침을 따르세요:
1. AWS SQS
2. AWS S3 버킷
Zeek를 구성하여 로그를 Data Transport 소스로 푸시하십시오.
- 선택한 Data Transport 소스로 로그를 푸시하는 방법은 Zeek 문서를 참조하십시오.

지원되는 로그 유형

Zeek.CaptureLoss

Zeek CaptureLoss는 패킷 캡처 프로세스가 측정 손실로부터 어느 정도 영향을 받는지에 대한 증거를 기록합니다.

참고: 캡처 손실

스키마: Zeek.CaptureLoss
설명: Zeek CaptureLoss. 패킷 캡처 프로세스가 측정 손실로부터 어느 정도 영향을 받는지에 대한 증거를 기록합니다
참조 URL: https://docs.zeek.org/en/master/scripts/policy/misc/capture-loss.zeek.html
필드:
  - name: acks
    required: true
    type: bigint
  - name: gaps
    required: true
    type: bigint
  - name: peer
    required: true
    type: string
  - name: percent_lost
    required: true
    type: float
  - name: ts
    required: true
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true
  - name: ts_delta
    required: true
    type: float

Zeek.Conn

참고: conn.log

스키마: Zeek.Conn
설명: Zeek Conn
참조 URL: https://docs.zeek.org/en/master/logs/conn.html
필드:
  - 이름: service
    type: string
  - name: duration
    type: float
  - name: orig_bytes
    type: bigint
  - name: resp_bytes
    type: bigint
  - name: history
    type: string
  - name: conn_state
    required: true
    type: string
  - name: id.orig_h
    required: true
    type: string
    지표:
      - ip
  - name: id.orig_p
    required: true
    type: bigint
  - name: id.resp_h
    required: true
    type: string
    지표:
      - ip
  - name: id.resp_p
    required: true
    type: bigint
  - name: local_orig
    required: true
    유형: boolean
  - name: local_resp
    required: true
    유형: boolean
  - name: missed_bytes
    required: true
    type: bigint
  - name: orig_ip_bytes
    required: true
    type: bigint
  - name: orig_pkts
    required: true
    type: bigint
  - name: proto
    required: true
    type: string
  - name: resp_ip_bytes
    required: true
    type: bigint
  - name: resp_pkts
    required: true
    type: bigint
  - name: ts
    required: true
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true
  - 이름: uid
    required: true
    type: string
    지표:
      - trace_id
  - name: uid2
    type: string
    지표:
      - trace_id

Zeek.DHCP

참고: dhcp.log

스키마: Zeek.DHCP
설명: Zeek DHCP
참조 URL: https://docs.zeek.org/en/master/logs/dhcp.html
필드:
  - name: host_name
    type: string
    지표:
      - 도메인
  - name: requested_addr
    type: string
    지표:
      - ip
  - name: duration
    required: true
    type: float
  - name: mac
    required: true
    type: string
    지표:
      - mac
  - name: msg_types
    required: true
    type: array
    element:
      type: string
  - name: ts
    required: true
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true
  - name: uids
    required: true
    type: array
    element:
      type: string
      지표:
        - trace_id

Zeek.DNS

Zeek DNS 활동

참고: Zeek 문서 - DNS::info

스키마: Zeek.DNS
설명: Zeek DNS 활동
참조 URL: https://docs.zeek.org/en/current/scripts/base/protocols/dns/main.zeek.html#type-DNS::Info
필드:
  - name: ts
    required: true
    설명: 관련 연결에서 DNS 프로토콜 메시지가 관찰된 가장 이른 시간입니다.
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true
  - 이름: uid
    required: true
    설명: DNS 메시지가 전송되는 연결의 고유 식별자입니다.
    type: string
  - name: id.orig_h
    required: true
    설명: 발신자의 IP 주소입니다.
    type: string
    지표:
      - ip
  - name: id.orig_p
    required: true
    설명: 발신자의 포트 번호입니다.
    유형: int
  - name: id.resp_h
    required: true
    설명: 응답자의 IP 주소입니다.
    type: string
    지표:
      - ip
  - name: id.resp_p
    required: true
    설명: 응답자의 포트 번호입니다.
    유형: int
  - name: proto
    required: true
    설명: 연결의 전송 계층 프로토콜입니다.
    type: string
  - name: trans_id
    설명: DNS 쿼리를 생성한 프로그램이 할당한 16비트 식별자입니다. 응답에서 대기 중인 쿼리에 대한 응답을 맞추는 데에도 사용됩니다.
    유형: int
  - name: query
    설명: DNS 쿼리의 대상이 되는 도메인 이름입니다.
    type: string
    지표:
      - 도메인
  - name: qclass
    설명: 쿼리의 클래스를 지정하는 QCLASS 값입니다.
    type: bigint
  - name: qclass_name
    설명: 쿼리 클래스에 대한 설명적 이름입니다.
    type: string
  - name: qtype
    설명: 쿼리의 유형을 지정하는 QTYPE 값입니다.
    type: bigint
  - name: qtype_name
    설명: 쿼리 유형에 대한 설명적 이름입니다.
    type: string
  - name: rcode
    설명: DNS 응답 메시지의 응답 코드 값입니다.
    type: bigint
  - name: rcode_name
    설명: 응답 코드 값에 대한 설명적 이름입니다.
    type: string
  - name: AA
    설명: 응답 메시지의 Authoritative Answer 비트는 응답하는 네임서버가 질문 섹션의 도메인 이름에 대한 권한자임을 지정합니다.
    유형: boolean
  - name: TC
    설명: Truncation 비트는 메시지가 잘렸음을 지정합니다.
    유형: boolean
  - name: RD
    설명: 요청 메시지의 Recursion Desired 비트는 클라이언트가 이 쿼리에 대해 재귀 서비스를 원함을 나타냅니다.
    유형: boolean
  - name: RA
    설명: 응답 메시지의 Recursion Available 비트는 네임서버가 재귀 쿼리를 지원함을 나타냅니다.
    유형: boolean
  - name: Z
    설명: 일반적으로 쿼리 및 응답에서 0인 예약된 필드입니다.
    type: bigint
  - name: answers
    설명: 쿼리 응답에 포함된 리소스 설명들의 집합입니다.
    type: array
    element:
      type: string
      지표:
        - hostname
  - name: TTLs
    설명: answers 필드에 설명된 관련 RR들의 캐싱 간격(초 단위)입니다.
    type: array
    element:
      type: float
  - name: rejected
    설명: DNS 쿼리가 서버에 의해 거부되었습니다.
    유형: boolean

Zeek.DPD

Zeek 동적 프로토콜 감지.

참고: dpd.log

스키마: Zeek.DPD
설명: Zeek 동적 프로토콜 감지
참조 URL: https://docs.zeek.org/en/master/logs/dpd.html
필드:
  - name: analyzer
    required: true
    type: string
  - name: failure_reason
    required: true
    type: string
  - name: id.orig_h
    required: true
    type: string
    지표:
      - ip
  - name: id.orig_p
    required: true
    type: bigint
  - name: id.resp_h
    required: true
    type: string
    지표:
      - ip
  - name: id.resp_p
    required: true
    type: bigint
  - name: proto
    required: true
    type: string
  - name: ts
    required: true
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true
  - 이름: uid
    required: true
    type: string
    지표:
      - trace_id

Zeek.Files

참고: files.log

스키마: Zeek.Files
설명: Zeek Files
참조 URL: https://docs.zeek.org/en/master/logs/files.html
필드:
  - name: analyzers
    required: true
    type: array
    element:
      type: string
  - name: conn_uids
    required: true
    type: array
    element:
      type: string
      지표:
        - trace_id
  - name: depth
    required: true
    type: bigint
  - name: duration
    required: true
    type: float
  - name: fuid
    required: true
    type: string
    지표:
      - trace_id
  - name: is_orig
    required: true
    유형: boolean
  - name: local_orig
    required: true
    유형: boolean
  - name: md5
    required: true
    type: string
    지표:
      - md5
  - name: mime_type
    type: string
  - name: missing_bytes
    required: true
    type: bigint
  - name: overflow_bytes
    required: true
    type: bigint
  - name: rx_hosts
    required: true
    type: array
    element:
      type: string
      지표:
        - ip
  - name: seen_bytes
    required: true
    type: bigint
  - name: sha1
    required: true
    type: string
    지표:
      - sha1
  - name: source
    required: true
    type: string
  - name: timedout
    required: true
    유형: boolean
  - name: ts
    required: true
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true
  - name: tx_hosts
    required: true
    type: array
    element:
      type: string
      지표:
        - ip

Zeek.HTTP

참고: http.log

스키마: Zeek.HTTP
설명: Zeek HTTP 활동
참조 URL: https://docs.zeek.org/en/master/scripts/base/protocols/http/main.zeek.html#type-HTTP::Info
필드:
  - name: ts
    required: true
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true
  - 이름: uid
    required: true
    type: string
    지표:
      - trace_id
  - name: id.orig_h
    required: true
    type: string
    지표:
      - ip
  - name: id.orig_p
    required: true
    type: bigint
  - name: id.resp_h
    required: true
    type: string
    지표:
      - ip
  - name: id.resp_p
    required: true
    type: bigint
  - name: trans_depth
    required: true
    type: bigint
  - name: method
    type: string
  - 이름: host
    type: string
    지표:
      - 도메인
  - name: uri
    type: string
  - name: referrer
    type: string
  - name: version
    type: string
  - name: user_agent
    type: string
  - name: origin
    type: string
  - name: request_body_len
    type: bigint
  - name: response_body_len
    type: bigint
  - name: status_code
    type: bigint
  - name: status_msg
    type: string
  - name: info_code
    type: bigint
  - name: info_msg
    type: string
  - name: tags
    required: true
    유형: json
  - 이름: username
    type: string
  - name: password
    type: string
  - name: capture_password
    유형: boolean
  - name: proxied
    type: array
    element:
      type: string
  - name: range_request
    유형: boolean
  - name: orig_fuids
    type: array
    element:
      type: string
      지표:
        - trace_id
  - name: orig_filenames
    type: array
    element:
      type: string
  - name: orig_mime_types
    type: array
    element:
      type: string
  - name: resp_fuids
    type: array
    element:
      type: string
      지표:
        - trace_id
  - name: resp_filenames
    type: array
    element:
      type: string
  - name: resp_mime_types
    type: array
    element:
      type: string
  - name: current_entity
    유형: json
  - name: orig_mime_depth
    type: bigint
  - name: resp_mime_depth
    type: bigint
  - name: client_header_names
    type: array
    element:
      type: string
  - name: server_header_names
    type: array
    element:
      type: string
  - name: omniture
    유형: boolean
  - 이름: flash_version
    type: string
  - name: cookie_vars
    type: array
    element:
      type: string
  - name: uri_vars
    type: array
    element:
      type: string

Zeek.KnownHosts

Zeek 알려진 호스트 - 완료된 TCP 연결을 추적합니다.

참고: known-hosts.log

스키마: Zeek.KnownHosts
설명: Zeek 알려진 호스트 - 완료된 TCP 연결을 추적합니다
참조 URL: https://docs.zeek.org/en/master/scripts/policy/protocols/conn/known-hosts.zeek.html
필드:
  - name: ts
    required: true
    설명: 호스트가 감지된 타임스탬프입니다.
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true
  - 이름: host
    required: true
    설명: TCP 연결을 시작하거나 응답한 것으로 감지된 주소입니다.
    type: string
    지표:
      - ip

Zeek.KnownServices

known-services 로그의 열 필드를 포함하는 레코드 타입입니다.

참고: known-services.log

스키마: Zeek.KnownServices
설명: known-services 로그의 열 필드를 포함하는 레코드 타입입니다
참조 URL: https://docs.zeek.org/en/master/scripts/policy/protocols/conn/known-services.zeek.html
필드:
  - name: ts
    required: true
    설명: 서비스가 관찰된 타임스탬프입니다
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true
  - 이름: host
    required: true
    설명: 서비스를 제공하는 시스템의 IP 주소입니다
    type: string
    지표:
      - ip
  - name: port_num
    required: true
    설명: 서비스가 실행되는 포트 번호입니다
    type: bigint
  - name: port_proto
    required: true
    설명: 서비스가 사용하는 전송 계층 프로토콜입니다
    type: string
  - 이름: service
    required: true
    설명: 서비스의 연결 페이로드와 일치하는 프로토콜 집합입니다
    type: array
    element:
      type: string

Zeek.Notice

참고: notice.log

스키마: Zeek.Notice
설명: Zeek Notice 활동
참조 URL: https://docs.zeek.org/en/master/frameworks/notice.html
필드:
  - name: actions
    required: true
    type: array
    element:
      type: string
  - name: email_dest
    type: array
    element:
      type: string
  - name: dst
    type: string
    지표:
      - ip
  - name: fuid
    type: string
    지표:
      - trace_id
  - name: id.orig_h
    type: string
    지표:
      - ip
  - name: id.orig_p
    type: bigint
  - name: id.resp_h
    type: string
    지표:
      - ip
  - name: id.resp_p
    type: bigint
  - name: msg
    required: true
    type: string
  - name: note
    required: true
    type: string
  - name: p
    type: bigint
  - name: proto
    type: string
  - name: src
    type: string
    지표:
      - ip
  - name: sub
    type: string
  - name: suppress_for
    required: true
    type: float
  - name: ts
    required: true
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true
  - 이름: uid
    type: string
    지표:
      - trace_id

Zeek.NTP

참고: ntp.log

스키마: Zeek.NTP
설명: Zeek 네트워크 시간 프로토콜 활동
참조 URL: https://docs.zeek.org/en/master/logs/ntp.html
필드:
  - name: id.orig_h
    required: true
    type: string
    지표:
      - ip
  - name: id.orig_p
    required: true
    type: bigint
  - name: id.resp_h
    required: true
    type: string
    지표:
      - ip
  - name: id.resp_p
    required: true
    type: bigint
  - name: mode
    required: true
    type: bigint
  - name: num_exts
    required: true
    type: bigint
  - name: org_time
    required: true
    type: float
  - name: poll
    required: true
    type: float
  - name: precision
    required: true
    type: float
  - name: rec_time
    required: true
    type: float
  - name: ref_id
    required: true
    type: string
  - name: ref_time
    required: true
    type: float
  - name: root_delay
    required: true
    type: float
  - name: root_disp
    required: true
    type: float
  - name: stratum
    required: true
    type: bigint
  - name: ts
    required: true
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true
  - 이름: uid
    required: true
    type: string
    지표:
      - trace_id
  - name: version
    required: true
    type: bigint
  - name: xmt_time
    required: true
    type: float

Zeek.OCSP

참고: ocsp.log


스키마: Zeek.OCSP
설명: Zeek 온라인 인증서 상태 프로토콜 활동
참조 URL: https://docs.zeek.org/en/v4.0.0/scripts/policy/files/x509/log-ocsp.zeek.html
필드:
  - name: certStatus
    required: true
    type: string
  - name: hashAlgorithm
    required: true
    type: string
  - 이름: id
    required: true
    type: string
  - name: issuerKeyHash
    required: true
    type: string
  - name: issuerNameHash
    required: true
    type: string
  - name: nextUpdate
    required: true
    type: timestamp
    timeFormats:
      - unix
  - name: serialNumber
    required: true
    type: string
  - name: revoketime
    type: timestamp
    timeFormats:
      - unix
  - name: revokereason
    type: string
  - name: thisUpdate
    required: true
    type: timestamp
    timeFormats:
      - unix
  - name: ts
    required: true
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true

Zeek.Reporter

Zeek 내부 경고 및 오류.

참고: reporter.log

스키마: Zeek.Reporter
설명: Zeek 내부 경고 및 오류
참조 URL: https://docs.zeek.org/en/master/logs/capture-loss-and-reporter.html
필드:
  - 이름: level
    required: true
    type: string
  - 이름: location
    required: true
    type: string
  - name: message
    required: true
    type: string
  - name: ts
    required: true
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true

Zeek.SIP

이 스키마는 Zeek SIP 분석 로그를 나타냅니다.

참고: sip.log

스키마: Zeek.SIP
설명: Zeek SIP 분석
참조 URL: https://docs.zeek.org/en/master/scripts/base/protocols/sip/main.zeek.html#id2
필드:
  - name: ts
    required: true
    type: timestamp
    timeFormats:
      - unix
  - 이름: uid
    required: true
    type: string
    지표:
      - trace_id
  - name: id.orig_h
    required: true
    type: string
    지표:
      - ip
  - name: id.orig_p
    required: true
    type: bigint
  - name: id.resp_h
    required: true
    type: string
    지표:
      - ip
  - name: id.resp_p
    required: true
    type: bigint
  - name: trans_depth
    required: true
    type: bigint
  - name: method
    type: string
  - name: uri
    type: string
  설명: 이 로그가 관련된 앱 id.
    type: string
  - name: request_from
    type: string
  - name: request_to
    type: string
  - name: response_from
    type: string
  - name: response_to
    type: string
  - name: reply_to
    type: string
  - name: call_id
    type: string
  - name: seq
    type: string
  - name: subject
    type: string
  - name: request_path
    type: array
    element:
      type: string
  - name: response_path
    type: array
    element:
      type: string
  - name: user_agent
    type: string
  - name: status_code
    type: bigint
  - name: status_msg
    type: string
  - name: warning
    type: string
  - name: request_body_len
    type: bigint
  - name: response_body_len
    type: bigint
  - name: content_type
    type: string

Zeek.Software

참고: software.log

스키마: Zeek.Software
설명: Zeek 소프트웨어 활동
참조 URL: https://docs.zeek.org/en/master/logs/known-and-software.html#software-log
필드:
  - name: host_p
    설명: host_p
    type: bigint
  - name: version.addl
    설명: version.addl
    type: string
  - name: version.minor2
    설명: version.minor2
    type: string
  - name: version.minor3
    설명: version.minor3
    type: string
  - name: version.minor
    설명: version.minor
    type: string
  - 이름: host
    required: true
    설명: host
    type: string
    지표:
      - ip
  - 이름: name
    required: true
    설명: name
    type: string
  - name: software_type
    required: true
    설명: software_type
    type: string
  - name: ts
    required: true
    설명: ts
    type: timestamp
    시간형식: unix
    isEventTime: true
  - name: unparsed_version
    required: true
    설명: unparsed_version
    type: string
  - name: version.major
    설명: version.major
    type: bigint

Zeek.SSH

참고: ssh.log

스키마: Zeek.Ssh
설명: Zeek ssh 활동
참조 URL: https://docs.zeek.org/en/current/scripts/base/protocols/ssh/main.zeek.html#type-SSH::Info
필드:
  - name: ts
    required: true
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true
  - 이름: uid
    required: true
    type: string
    지표:
      - trace_id
  - name: id.orig_h
    required: true
    type: string
    지표:
      - ip
  - name: id.orig_p
    required: true
    type: bigint
  - name: id.resp_h
    required: true
    type: string
    지표:
      - ip
  - name: id.resp_p
    required: true
    type: bigint
  - name: version
    type: string
  - name: auth_success
    유형: boolean
  - name: auth_attempts
    type: bigint
  - 이름: direction
    type: string
  - name: client
    type: string
  - name: server
    type: string
  - name: cipher_alg
    type: string
  - name: mac_alg
    type: string
  - name: compression_alg
    type: string
  - name: kex_alg
    type: string
  - name: host_key_alg
    type: string
  - name: host_key
    type: string

Zeek.SSL

참고: ssl.log

스키마: Zeek.Ssl
설명: Zeek SSL 활동
참조 URL: https://docs.zeek.org/en/master/logs/ssl.html
필드:
  - name: next_protocol
    type: string
  - name: cert_chain_fps
    type: array
    element:
      type: string
  - name: sni_matches_cert
    유형: boolean
  - name: validation_status
    type: string
  - name: curve
    type: string
  - name: cipher
    type: string
  - name: established
    required: true
    유형: boolean
  - name: id.orig_h
    required: true
    type: string
    지표:
      - ip
  - name: id.orig_p
    required: true
    type: bigint
  - name: id.resp_h
    required: true
    type: string
    지표:
      - ip
  - name: id.resp_p
    required: true
    type: bigint
  - name: resumed
    required: true
    유형: boolean
  - name: server_name
    type: string
    지표:
      - 도메인
  - name: ssl_history
    required: true
    type: string
  - name: ts
    required: true
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true
  - 이름: uid
    required: true
    type: string
    지표:
      - trace_id
  - name: version
    type: string

```

Zeek.Stats

참고: stats.log

스키마: Zeek.Stats
설명: Zeek 로그 메모리/패킷/지연 통계.
참조 URL: https://docs.zeek.org/en/master/scripts/policy/misc/stats.zeek.html
필드:
  - name: active_dns_requests
    required: true
    type: bigint
  - name: active_files
    required: true
    type: bigint
  - name: active_icmp_conns
    required: true
    type: bigint
  - name: active_tcp_conns
    required: true
    type: bigint
  - name: active_timers
    required: true
    type: bigint
  - name: active_udp_conns
    required: true
    type: bigint
  - name: bytes_recv
    required: true
    type: bigint
  - name: dns_requests
    required: true
    type: bigint
  - name: events_proc
    required: true
    type: bigint
  - name: events_queued
    required: true
    type: bigint
  - name: files
    required: true
    type: bigint
  - name: icmp_conns
    required: true
    type: bigint
  - name: mem
    required: true
    type: bigint
  - name: peer
    required: true
    type: string
  - name: pkt_lag
    required: true
    type: float
  - name: pkts_dropped
    required: true
    type: bigint
  - name: pkts_link
    required: true
    type: bigint
  - name: pkts_proc
    required: true
    type: bigint
  - name: reassem_file_size
    required: true
    type: bigint
  - name: reassem_frag_size
    required: true
    type: bigint
  - name: reassem_tcp_size
    required: true
    type: bigint
  - name: reassem_unknown_size
    required: true
    type: bigint
  - name: tcp_conns
    required: true
    type: bigint
  - name: timers
    required: true
    type: bigint
  - name: ts
    required: true
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true
  - name: udp_conns
    required: true
    type: bigint

Zeek.Telemetry

카운터 및 게이지 메트릭을 기록하는 데 사용되는 레코드 유형입니다.

참고: telemetry.log

스키마: Zeek.Telemetry
설명: 카운터 및 게이지 메트릭을 기록하는 데 사용되는 레코드 유형
참조 URL: https://docs.zeek.org/en/master/scripts/policy/frameworks/telemetry/log.zeek.html
필드:
  - name: ts
    required: true
    설명: 보고 시점의 타임스탬프
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true
  - name: peer
    required: true
    설명: 이 로그를 생성한 피어(메트릭이 기원한 클러스터 노드를 식별)
    type: string
  - name: metric_type
    required: true
    설명: 기본 메트릭 유형에 따라 "counter" 또는 "gauge" 값을 포함합니다
    type: string
  - 이름: name
    required: true
    설명: 메트릭의 이름
    type: string
  - 이름: labels
    required: true
    설명: 개별 레이블의 이름들
    type: array
    element:
      type: string
  - name: label_values
    required: true
    설명: labels에 나열된 레이블들의 값입니다
    type: array
    element:
      type: string
  - 이름: value
    required: true
    설명: 이 메트릭의 값
    type: float

Zeek.Tunnel

Zeek의 tunnel.log 목적은 캡슐화된 트래픽을 식별하는 것입니다.

참고: tunnel.log

스키마: Zeek.Tunnel
설명: Zeek의 tunnel.log 목적은 캡슐화된 트래픽을 식별하는 것입니다.
참조 URL: https://docs.zeek.org/en/master/logs/tunnel.html
필드:
  - 이름: action
    required: true
    type: string
  - name: id.orig_h
    required: true
    type: string
    지표:
      - ip
  - name: id.orig_p
    required: true
    type: bigint
  - name: id.resp_h
    required: true
    type: string
    지표:
      - ip
  - name: id.resp_p
    required: true
    type: bigint
  - name: ts
    required: true
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true
  - name: tunnel_type
    required: true
    type: string

Zeek.Weird

참고: weird.log

스키마: Zeek.Weird
설명: Zeek Weird 활동
참조 URL: https://docs.zeek.org/en/master/logs/weird-and-notice.html
필드:
  - name: source
    type: string
  - name: id.orig_h
    required: true
    type: string
    지표:
      - ip
  - name: id.orig_p
    required: true
    type: bigint
  - name: id.resp_h
    required: true
    type: string
    지표:
      - ip
  - name: id.resp_p
    required: true
    type: bigint
  - 이름: name
    required: true
    type: string
  - name: notice
    required: true
    유형: boolean
  - name: peer
    required: true
    type: string
  - name: ts
    required: true
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true
  - 이름: uid
    required: true
    type: string
    지표:
      - trace_id

Zeek.X509

참고: x509.log

스키마: Zeek.X509
설명: Zeek X509
참조 URL: https://docs.zeek.org/en/master/logs/x509.html
필드:
  - name: certificate.curve
    type: string
  - name: certificate.exponent
    type: bigint
  - name: basic_constraints.ca
    required: true
    유형: boolean
  - name: certificate.issuer
    required: true
    type: string
  - name: certificate.key_alg
    required: true
    type: string
  - name: certificate.key_length
    required: true
    type: bigint
  - name: certificate.key_type
    required: true
    type: string
  - name: certificate.not_valid_after
    required: true
    type: timestamp
    timeFormats:
      - unix
  - name: certificate.not_valid_before
    required: true
    type: timestamp
    timeFormats:
      - unix
  - name: certificate.serial
    required: true
    type: string
  - name: certificate.sig_alg
    required: true
    type: string
  - name: certificate.subject
    required: true
    type: string
  - name: certificate.version
    required: true
    type: string
  - name: client_cert
    required: true
    유형: boolean
  - name: fingerprint
    required: true
    type: string
  - name: host_cert
    required: true
    유형: boolean
  - name: san.dns
    required: true
    type: array
    element:
      type: string
  - name: ts
    required: true
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true

이전Wiz 로그 다음Zendesk 로그

마지막 업데이트 28일 전

도움이 되었나요?

hashtag개요

hashtagZeek 로그를 Panther에 온보딩하는 방법

hashtag지원되는 로그 유형

hashtagZeek.CaptureLoss

hashtagZeek.Conn

hashtagZeek.DHCP

hashtagZeek.DNS

hashtagZeek.DPD

hashtagZeek.Files

hashtagZeek.HTTP

hashtagZeek.KnownHosts

hashtagZeek.KnownServices

hashtagZeek.Notice

hashtagZeek.NTP

hashtagZeek.OCSP

hashtagZeek.Reporter

hashtagZeek.SIP

hashtagZeek.Software

hashtagZeek.SSH

hashtagZeek.SSL

hashtagZeek.Stats

hashtagZeek.Telemetry

hashtagZeek.Tunnel

hashtagZeek.Weird

hashtagZeek.X509

개요