데이터 소스 및 전송
로그를 정규화하고 보관하기 위해 데이터 소스를 Panther에 온보딩하세요
개요
Panther는 일반적인 데이터 소스에 대한 내장 통합과 사용자 지정 로그 소스에 대한 데이터 매핑을 제공합니다. 이 페이지에서는 사용 가능한 데이터 소스 옵션이(가) 어떻게 로그 소스 수집 및 상태를 모니터링하는지이(가) 어떻게 새 로그 소스에 대한 지원을 요청하는 방법및 어떻게 이벤트 임계값 알람을 구성하는지.
Panther 콘솔 감사 로그 수집에 대한 정보는 Panther 감사 로그 페이지를 참조하세요.
비디오 개요
데이터 소스 및 전송
데이터 전송
HTTP(웹후크) 소스를 생성하거나 S3 버킷, CloudWatch, SQS, SNS, Azure Blob Storage 또는 Google Cloud Storage(GCS)와 같은 클라우드 서비스를 활용하여 데이터를 Panther로 푸시할 수 있습니다. 자세한 내용은 데이터 전송.
지원되는 로그
Panther는 API를 쿼리하는 직접 통합과 AWS EventBridge를 통해 공급업체로부터 로그를 가져오는 것을 지원합니다. 또한 Panther는 직접 API 통합이 없는 지원되는 스키마를 가진 로그를 수집하기 위해 일반적인 데이터 전송 소스에 로그를 푸시하는 것을 지원합니다. 지원되는 공급업체의 전체 목록은 지원되는 로그 페이지를 참조하세요.
클라우드 계정
감지(Detections)를 구성하고 경고를 받기 위해 AWS를 로그 소스로 온보딩하는 것 외에도, AWS 계정에 대해 클라우드 보안 스캔을 구성할 것을 권장합니다. 클라우드 보안 스캔은 AWS 계정을 스캔하고 그 안의 리소스를 모델링하며 정책을 사용해 잘못된 구성(오류 구성)을 감지하는 방식으로 작동합니다. 자세한 내용은 클라우드 보안 스캔.
사용자 정의 로그
지원되지 않는 로그 유형이 있는 경우 Panther는 사용자 정의 스키마를 생성할 수 있게 해줍니다. Panther는 이벤트를 올바르게 파싱하는 방법을 알려주는 사용자 정의 스키마를 구축할 수 있는 기능을 제공합니다. 자세한 내용은 사용자 정의 로그.
로그 소스 모니터링
로그 소스가 Panther에 온보딩되면 로그 소스의 운영 페이지에서 개별 데이터 처리 지표와 상태를 모니터링하고, 새로운 스키마를 연결하며, 로그 소스와 관련된 원시 데이터를 볼 수 있습니다. 또한 로그 소스 개요 페이지에서 전체 로그 소스 수집 지표를 모니터링할 수 있습니다. 자세한 내용은 로그 소스 모니터링.
수집 필터링
수집 필터는 들어오는 데이터를 드롭(즉, Panther에 수집하지 않음)해야 하는 조건을 정의할 수 있게 해줍니다. 이렇게 드롭된 데이터는 수집 할당량에 포함되지 않습니다. 따라서 이러한 필터는 Panther에 연결했을 때 비용 때문에 이전에 부분 수집이 불가능했던 대량 로그를 부분적으로 수집하는 데 유용할 수 있습니다.
자세한 내용은 수집 필터.
이벤트 임계값 알람 구성
Panther에서 로그 소스를 구성하는 마지막 단계에서, 소스가 구성 가능한 기간 내에 이벤트를 처리하지 않을 경우 알람을 생성하는 옵션을 선택할 수 있습니다. 예를 들어 임계값을 15분으로 구성하면 15분 동안 이벤트가 처리되지 않을 경우 알림을 받습니다.
로그 소스 지원 요청
만약 통합 > 로그 소스목록에서 원하는 로그 소스를 찾을 수 없다면, 새 로그 소스에 대한 지원을 요청할 수 있습니다:
Panther 콘솔에 로그인합니다.
이동: 구성 > 로그 소스.
클릭 새로 만들기.
페이지 하단으로 스크롤하여 여기에서 요청 하이퍼링크를 클릭합니다.
요청하려는 로그 소스 이름과 해당 소스가 해결할 사용 사례를 입력합니다.
클릭 요청 생성.
로그 소스 삭제
더 이상 특정 로그 소스에서 로그를 수집하고 싶지 않으면 Panther 콘솔 또는 Panther API를 사용하여 해당 소스를 삭제할 수 있습니다.
로그 소스를 삭제한 후에도 해당 소스가 이미 수집한 모든 이벤트는 데이터 레이크에서 계속 액세스할 수 있습니다(즉, 다음을 사용해 쿼리할 수 있습니다 데이터 탐색기 와 검색).
로그 소스를 삭제하려면:
Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.
로그 소스 표에서 삭제하려는 항목을 찾습니다. 해당 행의 오른쪽에서 점 세 개 아이콘을 클릭합니다.
클릭 삭제.
팝업 확인 모달에서 예, 삭제.
다음을 사용하세요
DeleteSource뮤테이션을 Panther GraphQL API.
데이터 수집 크기 제한
Panther는 최대 15MB까지의 이벤트를 수집할 수 있습니다.
15MB보다 큰 로그 이벤트가 Panther로 전송되면 건너뛰어 수집되지 않습니다. S3, CloudWatch, GCS 또는 Azure Blob Storage에서 수집되는 경우 전체 파일이 삭제되며 시스템 오류가 생성됩니다.
Panther가 데이터를 가져오는 데 사용하는 IP 주소
Panther가 데이터를 가져오기 위해 사용하는 IP 주소는 로그 소스의 유형에 따라 다릅니다:
지원되는 로그 Panther가 폴링하는 API를 가진 "API 풀러" 소스
귀하의 Panther 콘솔 게이트웨이 공용 IP.
사용자 정의 로그 다음을 사용하는 소스: AWS 데이터 전송
다음 내의 IP 주소: AWS IP 주소 범위.
지원되는 로그 GCS 저장소 위치를 사용하는 소스 또는 사용자 정의 로그 다음을 사용하는 소스: GCS 데이터 전송
다음 내의 IP 주소: AWS IP 주소 범위. (Panther가 IP를 귀하의 Panther 콘솔로 제한하도록 요청하려면 게이트웨이 공용 IP지원팀에 문의하세요.)
지원되는 로그 Azure 저장소 위치를 사용하는 소스 또는 사용자 정의 로그 다음을 사용하는 소스: Azure 데이터 전송
다음 내의 IP 주소: AWS IP 주소 범위. (Panther가 IP를 귀하의 Panther 콘솔로 제한하도록 요청하려면 게이트웨이 공용 IP지원팀에 문의하세요.)
데이터 소스 및 전송 문제 해결
Panther 지식 기반을 방문하여 데이터 소스 및 전송에 관한 문서를 확인하세요 자주 묻는 질문에 대한 답변과 일반적인 오류 및 문제 해결에 도움이 되는 자료를 제공합니다.
Last updated
Was this helpful?