| 필드 이름 | 유형 | 설명 |
|---|---|---|
| 필드 이름 | 유형 | 설명 |
p_log_type | 문자열 | 로그의 유형입니다. |
p_row_id | 문자열 | 행에 대한 고유 ID(UUID)입니다. |
p_event_time | 타임스탬프 | 로그 유형과 관련된 이벤트 시간이 여기에 복사되어 UTC로 표준화됩니다. 형식: YYYY-MM-DD HH:MM:SS.fff |
p_parse_time | 타임스탬프 | 이벤트가 파싱된 현재 시간으로, UTC로 표준화됩니다. 형식: YYYY-MM-DD HH:MM:SS.fff |
p_schema_version | 정수 | 이 행에 사용된 스키마의 버전입니다. |
p_source_id | 문자열 | 소스 통합에 대해 Panther가 생성한 내부 ID입니다. |
p_source_label | 문자열 | 소스 통합에 대해 사용자가 제공한 라벨(편집 시 변경될 수 있음)입니다. |
p_source_file | 객체 | S3 소스에서만 사용 가능하며, 이 필드는 이벤트가 생성된 파일의 메타데이터(버킷 이름 및 오브젝트 키 포함)를 포함합니다. |
p_header | 객체 | 다음이 활성화된 경우 봉투 메타데이터를 포함합니다 봉투 필드 보존 이 CloudWatch 로그 소스에 대해입니다. 로그 그룹, 로그 스트림, 소유자 계정 및 구독 필터와 같은 정보가 포함됩니다. |
| 필드 이름 | 유형 | 설명 |
|---|---|---|
| panther_rule_matches의 필드 이름 | 유형 | 설명 |
p_alert_id | 문자열 | 행과 관련된 alert의 ID입니다. |
p_alert_creation_time | 타임스탬프 | 행과 관련된 alert 생성 시간입니다. |
p_alert_context | 객체 | rule의 alert_context() 함수에서 반환된 JSON 객체입니다. |
p_alert_severity | 문자열 | alert 시점의 룰의 심각도 수준입니다. 이는 동적으로 설정될 수 있으므로 기본 심각도와 다를 수 있습니다. |
p_alert_update_time | 타임스탬프 | 행과 관련된 마지막 alert 업데이트 시간입니다. |
p_rule_id | 문자열 | alert를 생성한 룰의 ID입니다. |
p_rule_error | 문자열 | 룰 실행 중 오류가 발생한 경우의 오류 메시지입니다. |
p_rule_reports | map[string]array[string] | 행과 관련된 사용자 정의 룰 보고 태그의 목록입니다. |
p_rule_severity | 문자열 | 룰의 기본 심각도입니다. |
p_rule_tags | array[string] | 행과 관련된 사용자 정의 룰 태그의 목록입니다. |
| 스키마에서 필드를 인디케이터로 지정하려면 해당 필드의 타입이 | 인디케이터 이름 | 설명 |
|---|---|---|
| 추출되는 필드 | actor_id | p_any_actor_ids |
| 값을 p_any_actor_ids에 추가합니다. | aws_account_id | p_any_aws_account_ids |
| 값이 유효한 AWS 계정 ID이면 p_any_aws_account_ids에 추가합니다. | aws_arn | p_any_aws_arns, p_any_aws_instance_ids, p_any_aws_account_ids, p_any_emails |
| 값이 유효한 AWS ARN이면 p_any_aws_arns에 추가합니다. ARN에 AWS 계정 ID가 포함되어 있으면 추출하여 p_any_aws_account_ids에 추가합니다. ARN에 EC2 인스턴스 ID가 포함되어 있으면 추출하여 p_any_aws_instance_ids에 추가합니다. ARN이 AWS STS Assume Role을 참조하고 이메일 주소를 포함하는 경우, 이메일 주소를 추출하여 p_any_emails에 추가합니다. | aws_instance_id | p_any_aws_instance_ids |
| 값이 유효한 AWS 인스턴스 ID이면 p_any_aws_instance_ids에 추가합니다. | aws_tag | p_any_aws_tags |
| 값을 p_any_aws_tags에 추가합니다. | cve | p_any_cves 다음 정규식과 일치하는 모든 값을 추출합니다 ^[Cc][Vv][Ee]-\d{4}-\d+$ |
| 그리고 p_any_cves에 추가합니다 | domain | p_any_domain_names |
| 값을 p_any_domain_names에 추가합니다. | p_any_emails @ 값이 유효한 이메일 주소이면 값을 p_any_emails에 추가합니다. 값에서 | |
| hostname | 앞부분은 p_any_usernames에도 채워집니다 | p_any_domain_names, p_any_ip_addresses |
| 값을 p_any_domain_names에 추가합니다. 값이 유효한 IPv4 또는 IPv6 주소이면 p_any_ip_addresses에 추가합니다. | ip | p_any_ip_addresses |
| 값이 유효한 IPv4 또는 IPv6 주소이면 p_any_ip_addresses에 추가합니다. | mac | p_any_mac_addresses |
| 값이 유효한 IEEE 802 MAC-48, EUI-48, EUI-64 또는 20바이트 IP over InfiniBand 링크-레이어 주소이면 p_any_mac_addresses에 추가합니다. | md5 | p_any_md5_hashes |
| 값이 유효한 md5이면 값을 p_any_md5_hashes에 추가합니다. | mitre_attack_technique | p_any_cves p_any_mitre_attack_techniques \b[Tt]\d{4}(?:\.\d{3})?\b 그리고 p_any_mitre_attack_techniques에 추가합니다. 예를 들어 필드 값이"Technique: T1234" 인 경우 p_any_mitre_attack_techniques에는 |
| net_addr | 앞부분은 p_any_usernames에도 채워집니다 | ["T1234"] 형식의 값에서 추출하여 <host>:<port> |
| 호스트 부분을 p_any_domain_names에 추가합니다. 호스트 부분이 유효한 IPv4 또는 IPv6 주소이면 p_any_ip_addresses에도 추가합니다. | serial_number | p_any_serial_numbers |
| 값을 p_any_serial_numbers에 추가합니다. | sha1 | p_any_sha1_hashes |
| 값이 유효한 sha1이면 p_any_sha1_hashes에 추가합니다. | sha256 | p_any_sha256_hashes |
| 값이 유효한 sha256이면 p_any_sha256_hashes에 추가합니다. | trace_id | p_any_trace_ids |
| url | 앞부분은 p_any_usernames에도 채워집니다 | 값을 p_any_trace_ids에 추가합니다. "http://" 또는 "https://" 이후의 호스트 부분을 파싱하여 추출합니다. |
| 호스트 부분을 p_any_domain_names에 추가합니다. 호스트 부분이 유효한 IPv4 또는 IPv6 주소이면 p_any_ip_addresses에 추가합니다. | username | p_any_usernames 값을 p_any_domain_names에 추가합니다. 값을 p_any_usernames에 추가합니다.이 필드는 또한 @ 인디케이터로 표시된 값으로 채워집니다. 이메일 값에서 |
| <로그에서 일치한 키>: <조회된 일치 행>, | 유형 | 엔리치먼트 필드 이름 |
|---|---|---|
에서 조회된 일치 항목을 가져와 키 | 객체 | 엔리치먼트 필드 설명 |
일치하는 행이 발견된 조회 결과의 딕셔너리입니다. | 문자열 | 일치하는 행이 발견된 조회 결과의 딕셔너리입니다. p_match 에서 조회된 일치 항목을 가져와 키는 |