CloudWatch Logs 소스

CloudWatch를 Panther 콘솔의 데이터 전송 로그 소스로 온보딩하기

개요

Panther는 CloudWatch를 데이터 전송(Data Transport)으로 구성하여 CloudWatch에서 보안 로그를 가져와 Panther 계정으로 전송하도록 지원합니다.

활성화하려면 로그 데이터의 실시간 처리, Panther는 다음을 생성합니다 Firehose 전송 스트림 및 전송 스트림의 대상으로 사용될 S3 버킷. 구독 필터 그런 다음 Firehose 전송 스트림을 대상으로 사용하여 CloudWatch Logs 로그 그룹에 대해 구성됩니다. Firehose가 새로 생성된 S3 버킷에 추가한 파일을 처리하기 위한 필수 읽기 권한은 IAM 역할에 부여됩니다.

이 프로세스에 대한 자세한 내용은 Amazon 문서에서 확인할 수 있습니다: 구독에 대한 AWS CloudWatch Logs 문서.

만약 당신이 Cloud Connected 고객이라면, Panther가 배포된 AWS 계정과 분리된 별도의 AWS 계정에 로그 소스 인프라(예: S3 버킷 또는 IAM 역할)를 생성하십시오.

아래 다이어그램을 참조하여 CloudWatch Logs를 사용해 애플리케이션에서 Panther로 데이터가 어떻게 흐르는지 이해하세요 ( SaaS):

A diagram shows how data flows from a customer application into Panther, using the CloudWatch Data Transport. The flow is as follows: Application(s), CloudWatch log group, Subscription filter, Kinesis Firehose, S3 bucket, SNS topic, SQS, Panther application, IAM Role (assumed by Panther, S3 bucket, Panther application, parse & normalize, real-time detections, Long term retention in Snowflake, Alerts generated, Alert destination

Panther에서 CloudWatch 로그 소스를 설정하는 방법

1단계: Panther 콘솔에서 CloudWatch 구성

Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.
오른쪽 상단에서 클릭하십시오 새로 만들기.
다음 항목을 클릭하십시오 AWS CloudWatch Logs 타일.
페이지에서 구성 필드를 채우십시오:
- 이름: CloudWatch 로그 소스에 대한 설명적인 이름을 입력하십시오.
- 로그 그룹 이름: CloudWatch 로그 그룹의 고유 이름을 입력하십시오.
- AWS 계정 ID: CloudWatch 로그 그룹이 속한 AWS 계정 ID 번호를 입력하십시오.
- 패턴 필터(선택 사항): 이 필드를 사용하여 CloudWatch에서 수신된 로그 데이터를 필터링하십시오. 자세한 내용은 필터 및 패턴 구문에 대한 Amazon 문서.
- 로그 유형: Panther가 CloudWatch 로그를 분석하는 데 사용할 로그 유형을 선택하십시오. 드롭다운 메뉴에서 적어도 하나의 로그 유형을 선택해야 합니다.
클릭 설정.

2단계: IAM 역할 설정

소스에서 객체를 읽으려면 Panther에는 특정 권한이 있는 AWS IAM 역할이 필요합니다. 이 역할을 설정하기 위해 다음 옵션 중 하나를 선택할 수 있습니다:

AWS 콘솔 UI 사용
- Panther에서 설정하는 첫 번째 데이터 전송 소스인 경우 이 옵션을 선택하십시오.
CloudFormation 또는 Terraform 파일
모든 것을 직접 설정하고 싶습니다

On the IAM Role Setup page, there are three options: Using the AWS Console UI, CloudFormation or Terraform File, or I want to set everything up on my own

AWS 콘솔 UI 사용

AWS 콘솔을 사용하여 CloudFormation 스택을 시작하십시오:

페이지에서 IAM 역할 생성 페이지에서, AWS 콘솔 UI 사용 타일에서, 클릭 계속.
클릭 콘솔 UI 실행.
- 템플릿 URL이 미리 채워진 새 브라우저 탭의 AWS 콘솔로 리디렉션됩니다.
- CloudFormation 스택은 소스에서 객체를 읽는 데 필요한 최소 권한을 가진 AWS IAM 역할을 생성합니다.
- AWS에서 CloudFormation 스택의 "Outputs" 탭을 클릭하고 역할 ARN을 확인하십시오.
Panther 콘솔로 돌아가서 필드에 값을 입력하십시오:
- (S3 소스를 설정하는 경우 해당 없음) 버킷 이름 – 필수: 출력된 S3 버킷 이름을 입력하십시오.
- 역할 ARN – 필수: 출력된 IAM 역할 ARN을 입력하십시오.
클릭 설정.

모든 것을 직접 설정하고 싶습니다

IAM 역할을 수동으로 생성한 다음 Panther에 역할 ARN을 입력하십시오. IAM 역할을 수동으로 설정할 때는 S3 버킷이 새 데이터가 도착할 때 알림을 보내도록 구성하기 위해 아래의 "수동 IAM 역할 생성: 추가 단계" 지침도 따라야 합니다.

페이지에서 IAM 역할 생성 페이지에서 클릭하십시오 모든 것을 직접 설정하고 싶습니다.

수동 또는 자체 자동화를 통해 IAM 역할을 생성하십시오.

역할에 연결될 IAM 정책은 아래에 정의된 문(statement)을 포함해야 합니다:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "s3:GetBucketLocation",
            "Resource": "arn:aws:s3:::<bucket-name>",
            "Effect": "Allow"
        },
        {
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::<bucket-name>/<input-file-path>",
            "Effect": "Allow"
        }
    ]
}

S3 버킷이 AWS KMS를 사용한 서버 측 암호화로 구성된 경우, 해당 KMS 키에 대한 Panther API 접근을 허용하는 추가 문장을 포함해야 합니다. 이 경우 정책은 대략 다음과 같습니다:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "s3:GetBucketLocation",
            "Resource": "arn:aws:s3:::<bucket-name>",
            "Effect": "Allow"
        },
        {
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::<bucket-name>/<input-file-path>",
            "Effect": "Allow"
        },
        {
            "Action": ["kms:Decrypt", "kms:DescribeKey"],
            "Resource": "arn:aws:kms:<region>:<your-account-id>:key/<kms-key-id>",
            "Effect": "Allow"
        }
    ]
}

위 내용 외에도 Panther 콘솔에서 S3 버킷의 내용을 보려면(예: 히스토리컬 데이터로부터 사용자 정의 스키마 추론 기능을 활용하기 위해) 다음을 추가해야 합니다: s3:ListBucket 작업: \

{
     "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::<bucket-name>",
            "Effect": "Allow"
        },
        {
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::<bucket-name>/<input-file-path>",
            "Effect": "Allow"
        }
    ]
}

역할에 다음의 신뢰 정책을 추가하여 Panther가 이 역할을 맡을 수 있게 하십시오: AssumeRolePolicyDocument 문장(statement)으로 Panther가 이 역할을 맡을 수 있도록:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:<aws-partition>:iam::<panther-master-account-id>:root"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "Bool": {
          "aws:SecureTransport": true
        }
      }
    }
  ]
}
```
- 다음을 채우십시오 <AWS-PARTITION> Panther 백엔드를 실행하는 계정의 파티션으로 (예: aws). 참고로 우리는 다음에는 배포하지 않습니다 aws-cn 또는 aws-us-gov.
- 다음을 채우십시오 <PANTHER-MASTER-ACCOUNT-ID> Panther가 배포된 12자리 계정 ID로 채우십시오. AWS 계정 ID를 얻으려면: Panther 콘솔 오른쪽 상단의 톱니바퀴 아이콘을 클릭하여 설정에 접근하면 페이지 하단에 AWS 계정 ID가 표시됩니다.
Panther 콘솔에서 필드에 값을 입력하십시오:
- (S3 소스를 설정하는 경우 해당 없음) 버킷 이름 – 필수: 출력된 S3 버킷 이름을 입력하십시오.
- 역할 ARN – 필수: 출력된 IAM 역할 ARN을 입력하십시오.
클릭 설정.
아래의 "수동 IAM 역할 생성: 추가 단계" 섹션으로 진행하십시오.

3단계: 소스 설정 마무리

성공 화면으로 이동됩니다:

The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"

선택적으로 하나 이상의 탐지 팩(Detection Packs).
설정은 이벤트가 처리되지 않을 때 경고 트리거 기본값은 예입니다. 로그 소스에서 일정 기간 이후 데이터 흐름이 중단되면 알림을 받으므로 이 기능을 활성화된 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.

The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day

아직 수행하지 않았다면 클릭하십시오 스키마 연결 또는 추론(Attach or Infer Schemas) 소스에 하나 이상의 스키마를 연결하려면.

수집된 로그 보기

로그 소스가 구성된 후에는 다음을 사용하여 수집된 데이터를 검색할 수 있습니다 검색 또는 데이터 탐색기.

수동 IAM 역할 생성: 추가 단계

로그 소스 생성 중에 IAM 역할을 수동으로 설정하도록 선택한 경우, 새 데이터가 도착할 때 S3 버킷이 알림을 보내도록 구성하기 위해 아래 지침도 따라야 합니다.

1단계: SNS 주제 생성 또는 수정

SNS 주제 생성 방법

참고: 이미 버킷이 다음을 전송하도록 구성된 경우, 모든 객체 생성 이벤트 대신 "기존 SNS 주제 수정" 탭을 따르고, Panther의 입력 데이터 큐에 구독(subscribe)하십시오.

하나의 SNS 주제(계정당 하나)만 필요하므로 동일한 AWS 계정 내의 여러 S3 버킷이 동일한 SNS 주제를 사용할 수 있습니다. 동일한 AWS 계정의 다른 S3 버킷에 대해 이미 SNS 주제를 생성한 경우 이 단계를 건너뛸 수 있습니다.

먼저 Panther에 새 데이터가 처리 준비가 되었음을 알리기 위해 SNS 주제와 SNS 구독을 생성해야 합니다.

S3 버킷을 소유한 계정의 AWS 콘솔에 로그인하십시오.
S3 버킷이 위치한 AWS 리전을 선택하고 다음으로 이동하십시오 CloudFormation 콘솔.
로 이동하십시오 스택 섹션. 선택하십시오 스택 생성 (새 리소스 포함).

"템플릿 지정" 섹션에서 다음 Amazon S3 URL을 입력하십시오:

https://panther-public-cloudformation-templates.s3-us-west-2.amazonaws.com/panther-log-processing-notifications/latest/template.yml

다음 스택 세부 정보를 지정하십시오:
- 스택 이름: 원하시는 이름, 예: panther-log-processing-notifications-<bucket-label>
- MasterAccountId: Panther가 배포된 12자리 AWS 계정 ID
- PantherRegion: Panther가 배포된 리전
- SnsTopicName: 알림을 수신하는 SNS 주제의 이름. 기본값은 panther-notifications-topic
클릭 다음(Next), 다음(Next), 그런 다음 스택 생성 을 눌러 프로세스를 완료하십시오.
- 이 스택에는 하나의 출력이 있습니다: SnsTopicArn.

기존 SNS 주제 수정 방법

S3 버킷 알림 전송에 기존 SNS 주제를 사용하려는 경우 아래 단계를 따르십시오. SNS 주제는 S3 버킷과 동일한 리전에 있어야 합니다.

1단계: SNS 주제에 대해 KMS 암호화 활성화

AWS 콘솔에 로그인하고 KMS로 이동하십시오.
암호화에 사용할 KMS 키를 선택하십시오.

정책을 편집하여 해당 키가 SNS 주제 및 S3 버킷 알림과 함께 사용될 수 있도록 적절한 권한 을 갖추었는지 확인하십시오.

예시 정책:

{
    "Sid": "Allow access for Key User (SNS Service Principal)",
    "Effect": "Allow",
    "Principal": {
        "Service": "sns.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "<SNS-TOPIC-ARN>"
},
{
    "Sid": "Allow access for Key User (S3 Service Principal)",
    "Effect": "Allow",
    "Principal": {
        "Service": "s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "arn:aws:s3:::<bucket-name>"
}

다음 항목을 클릭하십시오 SNS 주제의 암호화(Encryption)
클릭 탭.활성화(Enable)를 선택하고 암호화에 사용할 KMS 키를 지정하십시오.

2단계: SNS 주제 접근 정책 수정

SNS 주제와 Panther의 로그 처리 SQS 큐 사이에 구독을 생성하십시오.

로 이동하십시오 SNS 콘솔 로 이동하여 현재 이벤트를 수신하는 SNS 주제를 선택하십시오.
- 이 SNS 주제의 ARN을 기록해 두십시오.
클릭 편집을 클릭하고 아래로 스크롤하여 접근 정책 카드를 찾으십시오.
주제의 다음 진술을 추가하십시오 접근 정책:
```
{
  "Sid": "CrossAccountSubscription",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::<PANTHER-MASTER-ACCOUNT-ID>:root"
  },
  "Action": "sns:Subscribe",
  "Resource": "<SNS-TOPIC-ARN>"
}
```
- 다음을 채우십시오 <PANTHER-MASTER-ACCOUNT-ID> Panther가 배포된 12자리 계정 ID로 교체하십시오. 이 AWS 계정 ID는 Panther 콘솔에서 설정으로 이동한 후 페이지 하단에서 확인할 수 있습니다. 설정 클릭하여 톱니 아이콘.
- 다음을 채우십시오 SNS-TOPIC-ARN 이 문서에서 이전에 기록한 ARN으로 교체하십시오.

3단계: SQS로 SNS 구독 생성

Panther 마스터 계정의 SQS 대기열에 대한 구독을 생성합니다.

SNS 콘솔에서 구독.
클릭 구독 생성.
양식을 작성하십시오:
- 주제 ARN: 사용하려는 SNS 주제를 선택하십시오.
- 프로토콜: 선택 Amazon SQS.
- 엔드포인트: arn:aws:sqs:<PantherRegion>:<MasterAccountId>:panther-input-data-notifications-queue
- 원시 메시지 전달 활성화: 이 상자를 체크하지 마십시오. 원시 메시지 전달은 비활성화되어야 합니다.
클릭 구독 생성.

구독이 "보류(Pending)" 상태이고 즉시 확인되지 않는 경우 Panther 콘솔에서 이 로그 소스 설정을 완료해야 합니다. Panther는 SNS 주제의 AWS 계정에 대한 Panther 로그 소스가 존재할 때만 SNS 구독을 확인합니다.

2단계: S3 버킷에서 이벤트 알림 구성

SNS 주제가 생성되면 마지막 단계는 S3 버킷에서 알림을 활성화하는 것입니다.

AWS S3 콘솔로 이동하여 관련 버킷을 선택한 후 속성 탭을 클릭하십시오.
다음을 찾으십시오 이벤트 알림 카드를 찾으십시오.
클릭 이벤트 알림 생성 및 다음 설정을 사용하십시오:
- 다음 일반 구성 섹션:
  - 이벤트 이름: PantherEventNotifications
  - 접두사 (선택 사항): 일치하는 문자로 시작하는 키를 가진 객체로 알림을 제한합니다
  - 접미사 (선택 사항): 일치하는 문자로 끝나는 키를 가진 객체로 알림을 제한합니다
  - 다음 이벤트 유형 카드, 옆의 상자를 선택하십시오 모든 객체 생성 이벤트.

회피 접두사와 접미사가 겹치는 여러 필터를 생성하기그렇지 않으면 구성은 유효한 것으로 간주되지 않습니다.

다음 대상 카드:
- 아래 대상에서, 선택하십시오 SNS 주제.
- 다음을 위해 SNS 주제에서, 이전 단계에서 생성하거나 수정한 SNS 주제를 선택하십시오.
  - 제공된 CloudFormation 템플릿에서 기본 주제 이름을 사용한 경우 SNS 주제 이름은 panther-notifications-topic.
  - 사용자 정의 SNS 주제를 사용하는 경우 올바른 정책이 설정되어 있고 Panther SQS 큐에 대한 구독이 있는지 확인하십시오.

4. 클릭 저장.

위의 "3단계: 소스 설정 완료"로 돌아가십시오.

PreviousS3 소스 NextSQS 소스

Last updated 2 months ago

Was this helpful?

hashtag개요

hashtagPanther에서 CloudWatch 로그 소스를 설정하는 방법

hashtag1단계: Panther 콘솔에서 CloudWatch 구성

hashtag2단계: IAM 역할 설정

hashtag3단계: 소스 설정 마무리

hashtag수집된 로그 보기

hashtag수동 IAM 역할 생성: 추가 단계

hashtag1단계: SNS 주제 생성 또는 수정

hashtag2단계: S3 버킷에서 이벤트 알림 구성

개요

Panther에서 CloudWatch 로그 소스를 설정하는 방법

1단계: Panther 콘솔에서 CloudWatch 구성

2단계: IAM 역할 설정

3단계: 소스 설정 마무리

수집된 로그 보기

수동 IAM 역할 생성: 추가 단계

1단계: SNS 주제 생성 또는 수정

2단계: S3 버킷에서 이벤트 알림 구성