# Tarsal 온보딩 가이드

## 개요

[Tarsal](https://tarsal.co/) 최소한의 설정이나 유지 관리만 필요한 사전 구축 커넥터를 제공하여 보안 데이터의 수집을 간소화합니다. Tarsal을 사용하면 다음 중 하나를 통해 다양한 소스의 데이터를 Panther로 빠르게 수집할 수 있습니다. [HTTP 소스](/ko/data-onboarding/data-transports/http.md) 또는 [S3 Source](/ko/data-onboarding/data-transports/aws/s3.md). 이 가이드는 두 통합 방법을 모두 설정하는 방법을 설명합니다.

Tarsal에서 사용할 수 있는 SaaS 및 클라우드 로그 소스 외에도, kflow를 소스로 설정하여 Linux 엔드포인트 데이터를 캡처할 수 있습니다—[아래에서 kflow에 대해 자세히 알아보세요](#using-tarsal-kflow-to-ingest-linux-endpoint-data).

## Tarsal을 사용하여 로그를 Panther로 전달하는 방법

### 사전 요구 사항

* 활성 Tarsal 계정이 있습니다.
* 하나 이상의 소스 데이터 계정에 액세스할 수 있습니다.

### 1단계: Tarsal에서 Source Connector 만들기

* 해당 소스에 대한 설정 지침을 따라 Panther로 전달하려는 데이터에 대한 Source Connector를 Tarsal에서 만드세요. 해당 지침은 다음에서 찾을 수 있습니다. [Tarsal의 문서](https://docs.tarsal.cloud/docs/sources).

### 2단계: Panther에서 HTTP 또는 S3 소스 만들기

{% tabs %}
{% tab title="HTTP 소스" %}

* Panther의 [HTTP Source 구성 지침을 따라](/ko/data-onboarding/data-transports/http.md#how-to-set-up-an-http-log-source-in-panther).
  * 에 대해 **인증 방식**, 선택하세요 [Bearer](/ko/data-onboarding/data-transports/http.md#bearer).
  * 이 소스로 전송되는 페이로드는 다음의 적용을 받습니다. [모든 HTTP 소스에 대한 페이로드 요구사항](https://docs.panther.com/data-onboarding/data-transports/http#payload-requirements).
  * HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.
    {% endtab %}

{% tab title="S3 Source" %}

* 다음을 따르세요 [Panther의 S3 Source 구성 지침](/ko/data-onboarding/data-transports/aws/s3.md#how-set-up-an-aws-s3-bucket-log-source-in-panther).
  {% endtab %}
  {% endtabs %}

{% hint style="info" %}
Tarsal에서 전달된 모든 이벤트에는 `t_event_time` 필드가 포함됩니다. 이는 다음에서 사용할 수 있습니다. [사용자 지정 로그 스키마](/ko/data-onboarding/custom-log-types.md) 를 설정하는 데 `isEventTime: true`.

예시:

```yaml
- name: t_event_time
  유형: timestamp
  isEventTime: true
```

{% endhint %}

### 3단계: Tarsal에서 Destination Connector 만들기

2단계에서 Panther에 HTTP 소스를 만들었다면, 아래의 **HTTP Destination Connector** 탭의 지침을 따르세요. 또는 2단계에서 Panther에 S3 소스를 만들었다면, 다음의 **S3 Destination Connector** 탭.

{% tabs %}
{% tab title="HTTP Destination Connector" %}
Tarsal에서 HTTP Destination Connector를 만들려면:

1. Tarsal에서 **Destination** > **Destination 추가**.
2. 을 클릭합니다 **Panther (HTTP Source)**.
3. 를 클릭한 다음, 양식 필드를 채우세요:
   * **Name**: 설명이 포함된 이름을 입력하세요. 예: `Panther HTTP destination`.
   * **설명** (선택 사항): 원하시면 대상에 대한 추가 정보를 입력하세요.
   * **Bearer Token**: 2단계에서 Panther에서 생성한 bearer token을 붙여넣으세요.
   * **HTTP Ingest URL**: 2단계에서 Panther에서 생성한 HTTP endpoint를 붙여넣으세요.
     * 이 값은 Panther에서 HTTP source를 만든 후 상세 페이지로 이동하면 확인할 수 있습니다.
4. 을 클릭합니다 **테스트**.
5. 을 클릭합니다 **저장**.
   {% endtab %}

{% tab title="S3 Destination Connector" %}

* Tarsal에서 S3 Destination Connector를 만들려면 [Tarsal 문서의 이 지침을 따르세요](https://docs.tarsal.cloud/docs/destination-aws-s3).

참고: 데이터는 Newline Delimited JSON(ndjson) 형식으로 전달됩니다.
{% endtab %}
{% endtabs %}

{% hint style="info" %}
이 Destination Connector는 여러 Flow에서 재사용할 수 있습니다.
{% endhint %}

### 4단계: Tarsal에서 Flow 구성하기

Tarsal에서 Flow를 구성하려면:

1. Tarsal에서 **Flows**, 그런 다음 **Add Flow**.
2. 를 클릭한 다음, 양식 필드를 채우세요:
   * **Name**: Flow에 설명이 포함된 이름을 지정하세요.
   * **설명** (선택 사항): 원하시면 Flow에 대한 추가 정보를 입력하세요.
   * **Source**: 1단계에서 만든 Source Connector를 선택하세요.
   * **Destination**: 3단계에서 만든 Destination Connector를 선택하세요.
3. 을 클릭합니다 **저장**.

## Tarsal kflow를 사용하여 Linux 엔드포인트 데이터 수집하기

[Tarsal kflow](https://tarsal.co/kflow/) 은/는 [eBPF](https://en.wikipedia.org/wiki/EBPF) 를 사용하여 Linux 엔드포인트에서 다양한 시스템 및 네트워크 이벤트를 캡처하는 오픈 소스 도구입니다. kflow는 악성코드 디택션부터 데이터 이동 추적까지 다양한 용도로 사용할 수 있으며, 그런 다음 [kflow Source Connector](https://docs.tarsal.cloud/docs/source-kflow) 를 사용하여 kflow 데이터 스트림을 Tarsal로 수집할 수 있습니다.

kflow에 대해 자세히 알아보려면 [Tarsal의 문서](https://docs.tarsal.cloud/docs/source-kflow).


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.panther.com/ko/data-onboarding/data-pipeline-tools/tarsal.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.