Tarsal 온보딩 가이드
Tarsal을 사용하여 로그를 Panther로 전달하기
개요
발등(족근) Tarsal은 최소한의 설정 또는 유지 관리만으로도 사용할 수 있는 사전 구축 커넥터를 제공하여 보안 데이터 수집을 단순화합니다. Tarsal을 사용하면 다음 중 하나를 사용하여 다양한 소스의 데이터를 Panther로 빠르게 수집할 수 있습니다. HTTP 소스 또는 S3 소스이 가이드는 두 가지 통합 방법 모두를 설정하는 방법을 설명합니다.
Tarsal에서 사용할 수 있는 SaaS 및 클라우드 로그 소스 외에도 kflow를 소스로 설정하여 Linux 엔드포인트 데이터를 캡처할 수 있습니다—아래에서 kflow에 대해 자세히 알아보세요.
Tarsal을 사용하여 로그를 Panther로 전달하는 방법
전제 조건
활성 Tarsal 계정이 있어야 합니다.
하나 이상의 소스 데이터 계정에 접근할 수 있어야 합니다.
1단계: Tarsal에서 소스 커넥터 생성
해당 소스를 위한 설정 지침을 따라 Panther로 전달하려는 데이터에 대해 Tarsal에서 소스 커넥터를 생성하십시오. 설정 지침은 다음에서 찾을 수 있습니다. Tarsal 문서.
2단계: Panther에서 HTTP 또는 S3 소스 생성
Panther의 HTTP 소스 구성에 대한 지침.
다음의 경우 인증 방법에서, 선택하십시오 Bearer.
이 소스로 전송되는 페이로드는 모든 HTTP 소스에 대한 페이로드 요구사항.
HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.
다음을 따르십시오 S3 소스를 구성하기 위한 Panther의 지침.
3단계: Tarsal에서 대상 커넥터 생성
2단계에서 Panther에 HTTP 소스를 생성한 경우 아래의 HTTP 대상 커넥터 탭에 있는 지침을 따르십시오. 또는 2단계에서 Panther에 S3 소스를 생성한 경우 S3 대상 커넥터 탭을 클릭하십시오.
Tarsal에서 HTTP 대상 커넥터를 생성하려면:
Tarsal에서 클릭 대상 > 대상 추가.
클릭 Panther (HTTP 소스).
양식 필드를 작성합니다:
이름: 설명 이름을 입력하십시오. 예:
Panther HTTP 대상.설명 (선택 사항): 원하면 대상에 대한 추가 정보를 입력하십시오.
Bearer 토큰: 2단계에서 Panther에서 생성한 베어러 토큰을 붙여넣으세요.
HTTP 수집 URL: 2단계에서 Panther에서 생성한 HTTP 엔드포인트를 붙여넣으세요.
이 값은 Panther에서 HTTP 소스를 생성한 후 해당 소스의 세부 정보 페이지로 이동하면 확인할 수 있습니다.
클릭 테스트.
클릭 저장.
Tarsal에서 S3 대상 커넥터를 생성하려면, 다음을 따르세요 Tarsal 문서의 이 지침.
참고: 데이터는 Newline Delimited JSON(ndjson) 형식으로 전달됩니다.
4단계: Tarsal에서 플로우 구성
Tarsal에서 플로우를 구성하려면:
Tarsal에서 클릭 플로우그런 다음 플로우 추가.
양식 필드를 작성합니다:
이름: 플로우에 설명 이름을 지정하세요.
설명 (선택 사항): 원하면 플로우에 대한 추가 정보를 입력하세요.
소스: 1단계에서 생성한 소스 커넥터를 선택하세요.
대상: 3단계에서 생성한 대상 커넥터를 선택하세요.
클릭 저장.
Linux 엔드포인트 데이터를 수집하기 위한 Tarsal kflow 사용
Tarsal kflow 는 오픈 소스 도구로서 eBPF 를 사용하여 Linux 엔드포인트에서 광범위한 시스템 및 네트워크 이벤트를 캡처합니다. kflow는 맬웨어 탐지에서 데이터 이동 추적에 이르기까지 다양한 응용 분야에서 사용할 수 있으며—그런 다음 kflow 소스 커넥터 를 사용하여 kflow 데이터 스트림을 Tarsal로 수집할 수 있습니다.
Tarsal 문서에서 kflow에 대해 자세히 알아보세요 Tarsal 문서.
Last updated
Was this helpful?