search
Knowledge BaseRelease NotesRequest Demo

Cribl 온보딩 가이드

AWS S3, Cribl 및 Panther를 사용하여 민감한 로그 데이터를 익명화하는 방법

hashtag
개요

이 가이드에 설명된 절차는 Amazon Web Services(AWS) S3 버킷 및 Panther 내에서 작동하는 Cribl Cloud 또는 Cribl Self-Hosted를 사용하여 민감한 로그 데이터를 마스킹(레드액션)하는 방법을 설명합니다. 전반적으로 우리는 다음을 수행합니다:

  • Cribl에서 S3 버킷을 인증하는 방법(수동 방식 및 이벤트 브레이커 예시 포함).

  • JSON 데이터 형식을 사용하여 AWS S3 소스 및 대상으로 구성하는 방법.

  • 사전 및 사후 Cribl 마스크를 사용한 JSON 이벤트 예시 제공.

hashtag
Cribl로 민감한 필드를 마스킹(레드액션)하는 방법

hashtag
1단계: Cribl에서 AWS S3 소스 구성하기

  1. Cribl에 로그인합니다. 왼쪽에서 다음으로 이동합니다 그룹그런 다음 페이지 상단에서 라우팅 드롭다운을 클릭하고 퀵 커넥트(Quick Connect). In Cribl, the groups icon on the left is highlighted. The Routing tab's dropdown menu is displayed, showing the options "Data Routes" and "QuickConnect."

  2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 소스 추가그런 다음 소스 목록에서 Amazon S3를 선택합니다. The image shows a screen with the header "QuickConnect." The option "Unconnected" is selected. Beneath that, there is a button labeled "Add Source."

  3. 에서 구성 > 일반 설정그런 다음 고유한 입력 ID, SQS 큐의 ARN 및 선택적으로 추가 필터를 입력합니다. The image shows Cribl's Configure > General Settings page. It includes fields for Input ID, Queue, Filename Filter, Region, and Tags.

  4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 인증 왼쪽에 있습니다. 다음 중 하나의 인증 방법을 선택하려면 클릭하십시오:

    • 수동 - 액세스 키 및 시크릿 키 필요(액세스 및 시크릿 키를 AWS에서 생성해야 함)

    • 시크릿 - 시크릿 키 페어(이 키 페어를 AWS에서 생성해야 함)

    • 자동 - Assume Role 섹션에 구성할 AWS 계정 ID 및 ARN 필요. 이 역할은 S3 및/또는 SQS에 대한 액세스 권한을 가져야 함. The Configure section of Cribl is displayed. On the left sidebar, "Authentication" is highlighted. The Authentication Method is set to manual. There are fields for Access Key and Secret Key. 위 예제 화면에서 "수동(Manual)"이 선택되어 있습니다.

  5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 이벤트 브레이커 왼쪽에 있습니다. Cribl 이벤트 브레이커를 선택하십시오.

    • 참고: 이 단계는 Cribl이 들어오는 JSON 데이터를 파싱하도록 허용합니다.

hashtag
2단계: Cribl에서 AWS S3 대상 구성하기

  1. 퀵커넥트(QuickConnect) 페이지로 다시 이동합니다. 클릭 대상 추가(Add Destination) 하고 Amazon S3를 선택합니다. In QuickConnect under "Sources", Amazon S3 is chosen.

  2. 일반 설정 페이지에서 다음을 입력합니다:

    • S3 버킷 이름. AWS에서는 이러한 S3 버킷이 동일할 수 있습니다. 필요에 따라 버킷 내 객체는 접두사 필터로 구분할 수 있습니다.

    • 버킷 리전

    • 접두사(Prefix) 출력된 JSON 파일용

    • 파일 이름 접두사 표현식 The General Settings page for the S3 source is displayed. It contains fields for Output ID, S3 Bucket Name, Region, Staging Location, Key Prefix, Partitioning Expression, Data Format, File Name Prefix Expression, File Name Suffix Expression, Compress, Backpressure behavior, and Tags.\

  3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 인증 왼쪽에 있습니다. 다음 중 하나의 인증 방법을 선택하려면 클릭하십시오:

    • 수동 - 액세스 키 및 시크릿 키 필요(액세스 및 시크릿 키를 AWS에서 생성해야 함)

    • 시크릿 - 시크릿 키 페어(이 키 페어를 AWS에서 생성해야 함)

    • 자동 - Assume Role 섹션에 구성할 AWS 계정 ID 및 ARN 필요. 이 역할은 S3 및/또는 SQS에 대한 액세스 권한을 가져야 함. The Configure section of Cribl is displayed. On the left sidebar, "Authentication" is highlighted. The Authentication Method is set to manual. There are fields for Access Key and Secret Key. 위 예제 화면에서 "수동(Manual)"이 선택되어 있습니다.

hashtag
3단계: Cribl에서 파이프라인 구성하기

  1. 소스와 대상을 연결하는 점선(...)을 클릭하십시오: The sources page in Cribl is displayed. At the bottom of the screen, there is a popup dialog labeled "Connection Configuration." "Pipeline" is selected.

    • 연결 구성 대시보드로 리디렉션됩니다.

  2. 연결 구성 대시보드의 오른쪽 상단에서 클릭하십시오 + 파이프라인(+ Pipeline). 표시되는 드롭다운 메뉴에서 클릭하십시오 파이프라인 생성(Create Pipeline). In the Connection Configuration dashboard, in the upper right, the "Pipeline" dropdown menu is expanded.

  3. 표시되는 "새 파이프라인 생성(Create New Pipeline)" 팝업 대화상자에 이름을 입력합니다 redacted 에 붙여넣으세요 ID 필드. 선택적으로 비동기 함수 타임아웃(Async Function Timeout) 및 설명을 입력한 다음 클릭하십시오 "Resource": "<secret ARN>". The "Create New Pipeline" form is open. There are fields are ID, Async Function Timeout (ms), and Description.

  4. 처리/파이프라인(Processing / Pipelines) 페이지에서 파란색 기어 아이콘을 클릭합니다. The "Processing / Pipelines" tab at the top is seleted. There is a red arrow pointing to a gear icon in the upper right.

  5. 오른쪽 상단에서 클릭하세요 JSON으로 편집(Edit as JSON). The "Processing / Pipelines" tab is selected at the top. In the upper right, there is an "Edit as JSON" link.

  6. 아래의 JSON 블록을 붙여넣습니다. 아래 JSON 블록에는 두 개의 필터가 있습니다:

    • 마스크: 다음 필드의 모든 내용을 대체합니다 이름 필드로 : 이 기술은 민감한 값을

    • Eval: 다음 필드를 제거합니다 _raw cribl_breaker crible_pipe _time\

  7. JSON을 저장합니다.

JSON이 저장되면 UI는 아래 스크린샷과 유사하게 마스킹 룰을 반영합니다:

The Processing / Pipelines page is open. Under "Masking Rules", the Match Regex value is /(.*) and the Replace Expression value is `REDACTED`.

완성된 데이터 경로(Data Route)는 아래 스크린샷과 유사하게 표시됩니다:

The image shows the QuickConnect screen. On the left under Sources, "S3, cribl-source-s3" is listed. There is a dotted line connecting it to "S3 cribl-destination" under the Destinations header.

hashtag
Cribl 전후의 JSON 예시

다음 예시는 이 가이드의 이전 단계에서 언급된 mask 필터를 사용한 JSON 이벤트를 보여줍니다. 마스크 필터를 사용한 후 name 필드가 Bella 로 대체됩니다 REDACTED.

Cribl 이전 마스크(Pre-Cribl mask):

Cribl 이후 마스크(Post-Cribl mask):

구성이 완료된 후 마스크 필터가 예상대로 작동하는지 반드시 확인하시기 바랍니다. 마스크 필터가 올바르게 작동하는 것이 확인되면 마스킹된 로그를 Panther로 인제스트하십시오 S3 데이터 전송(Data Transport)을 사용하여.

이전Chronosphere 온보딩 가이드다음Fluent Bit 온보딩 가이드

마지막 업데이트

도움이 되었나요?