데이터 소스 및 전송
Panther에 데이터 소스를 온보드하여 로그를 정규화하고 보관하세요
개요
Panther는 일반적인 데이터 소스에 대한 내장 통합과 맞춤 로그 소스용 데이터 매핑을 제공합니다. 이 페이지는 사용 가능한 데이터 소스 옵션, 방법을 로그 소스 수집 및 상태 모니터링, 방법을 새 로그 소스 지원 요청, 및 방법을 이벤트 임계값 알람 구성.
Panther 콘솔 감사 로그 수집에 대한 정보는 Panther 감사 로그 페이지를 참조하세요.
비디오 개요
데이터 소스 및 전송
데이터 전송
HTTP(웹훅) 소스를 생성하거나 S3 버킷, CloudWatch, SQS, SNS, Azure Blob Storage 또는 Google Cloud Storage(GCS)와 같은 클라우드 서비스를 활용하여 데이터를 Panther로 푸시할 수 있습니다. 자세한 내용은 데이터 전송.
지원되는 로그
Panther는 API를 쿼리하는 직접 통합을 통해 벤더에서 로그를 가져오거나 AWS EventBridge를 통해 로그를 가져오는 것을 지원합니다. 또한 Panther는 직접 API 통합이 없는 지원되는 스키마를 가진 로그를 수집하기 위해 일반적인 데이터 전송 소스에 로그를 푸시하는 것을 지원합니다. 지원되는 벤더의 전체 목록은 지원되는 로그 페이지를 참조하세요.
클라우드 계정
탐지 구성을 위해 AWS를 로그 소스로 온보딩하고 경고를 받는 것 외에도 AWS 계정에 대해 클라우드 보안 스캐닝을 구성하는 것이 좋습니다. 클라우드 보안 스캐닝은 AWS 계정을 스캔하고 그 안의 리소스를 모델링하며 정책을 사용해 구성 오류를 감지하는 방식으로 작동합니다. 자세한 내용은 클라우드 보안 스캐닝.
사용자 정의 로그
Panther는 아직 지원되지 않는 로그 유형이 있는 경우 사용자 정의 스키마를 생성할 수 있게 합니다. Panther는 이벤트를 올바르게 파싱하는 방법을 알려주는 사용자 정의 스키마를 구축할 수 있는 기능을 제공합니다. 자세한 내용은 사용자 정의 로그.
로그 소스 모니터링
로그 소스가 Panther에 온보딩되면 해당 로그 소스의 운영 페이지에서 개별 데이터 처리 지표와 상태를 모니터링하고 새 스키마를 첨부하며 로그 소스와 관련된 원시 데이터를 볼 수 있습니다. 또한 로그 소스 개요 페이지에서 전체 로그 소스 수집 지표를 모니터링할 수 있습니다. 자세한 내용은 로그 소스 모니터링.
수집 필터링
수집 필터를 사용하면 들어오는 데이터를 드롭(즉, Panther에 수집되지 않음)해야 하는 조건을 정의할 수 있습니다. 이 드롭된 데이터는 수집 할당량에 포함되지 않습니다. 따라서 이러한 필터는 Panther에 연결했을 때 이전에 비용상 수집이 어려웠던 대량 로그를 부분적으로 수집하는 데 유용할 수 있습니다.
자세한 내용은 수집 필터.
이벤트 임계값 알람 구성
로그 소스를 Panther에 구성하는 마지막 단계에서, 소스가 구성 가능한 기간 동안 이벤트를 처리하지 않을 경우 알람을 생성하는 옵션이 있습니다. 예를 들어 임계값을 15분으로 구성하면 15분 동안 이벤트가 처리되지 않을 경우 알러트를 받게 됩니다.
지침은 로그 소스의 로그 드롭오프 알람 구성.
로그 소스 지원 요청
Integrations > Log Sources 목록에서 원하는 로그 소스가 보이지 않으면 통합 > 로그 소스, 새 로그 소스 지원을 요청할 수 있습니다:
Panther 콘솔에 로그인합니다.
다음으로 이동합니다 설정 > 로그 소스.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.
페이지 하단으로 스크롤하여 여기에서 요청 하이퍼링크를 클릭합니다.
요청하려는 로그 소스 이름과 그 로그 소스가 해결할 사용 사례를 입력합니다.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 요청 생성.
로그 소스 삭제
더 이상 특정 로그 소스에서 로그를 수집하고 싶지 않은 경우 Panther 콘솔에서 또는 Panther API를 사용하여 해당 로그 소스를 삭제할 수 있습니다.
로그 소스를 삭제한 후에도 해당 소스가 이미 수집한 모든 이벤트는 데이터 레이크에서 계속 액세스할 수 있습니다(즉, panther_monitor 와 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다).
로그 소스 삭제 방법:
Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.
로그 소스 테이블에서 삭제하려는 항목을 찾습니다. 해당 행 오른쪽에 있는 점 세 개 아이콘을 클릭합니다.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 삭제.
팝업 확인 모달에서 예, 삭제.
다음을 사용하세요
DeleteSource뮤테이션을 Panther GraphQL API.
데이터 수집 크기 제한
Panther는 최대 15MB까지 이벤트를 수집할 수 있습니다.
15MB보다 큰 로그 이벤트가 Panther로 전송되면 건너뛰어 수집되지 않습니다. S3, CloudWatch, GCS 또는 Azure Blob Storage에서 수집되는 경우 전체 파일이 삭제되고 시스템 오류가 생성됩니다.
Panther가 데이터를 가져오는 데 사용하는 IP 주소
Panther가 데이터를 가져오는 데 사용하는 IP 주소는 로그 소스의 유형에 따라 다릅니다:
지원되는 로그 API를 폴링하는 "API 풀러"인 소스—즉 Panther가 API를 폴링하는 소스
귀하의 Panther 콘솔 게이트웨이 공용 IP.
사용자 정의 로그 사용하는 소스 AWS 데이터 전송
내의 IP 주소 AWS IP 주소 공간.
지원되는 로그 GCS 저장 위치를 사용하거나 OR 사용자 정의 로그 GCS 데이터 전송을 사용하는 소스 GCS 데이터 전송
내의 IP 주소 AWS IP 주소 공간. (Panther가 IP를 귀하의 Panther 콘솔로 제한하도록 요청하려면 게이트웨이 공용 IP지원팀에 문의하세요.)
지원되는 로그 Azure 저장 위치를 사용하거나 OR 사용자 정의 로그 사용하는 소스 Azure 데이터 전송
내의 IP 주소 AWS IP 주소 공간. (Panther가 IP를 귀하의 Panther 콘솔로 제한하도록 요청하려면 게이트웨이 공용 IP지원팀에 문의하세요.)
데이터 소스 및 전송 문제 해결
Panther 지식 기반을 방문하여 데이터 소스 및 전송에 관한 문서를 확인하세요 자주 묻는 질문에 답하고 일반적인 오류와 문제를 해결하는 데 도움이 됩니다.
마지막 업데이트
도움이 되었나요?