search
Knowledge BaseRelease NotesRequest Demo

CloudWatch 로그 소스

Panther 콘솔에서 CloudWatch를 데이터 전송 로그 소스로 온보딩하기

hashtag
개요

Panther는 CloudWatch를 데이터 전송(Data Transport)으로 구성하여 보안 로그를 CloudWatch에서 Panther 계정으로 가져올 수 있도록 지원합니다.

사용하려면 로그 데이터의 실시간 처리arrow-up-right, Panther는 Firehose 전달 스트림arrow-up-right 과 전달 스트림의 대상지로 사용될 S3 버킷을 생성합니다. 또한 구독 필터arrow-up-right 가 CloudWatch Logs 로그 그룹에 대해 Firehose 전달 스트림을 대상으로 하도록 구성됩니다. Firehose가 새로 생성된 S3 버킷에 추가한 파일을 처리하기 위한 필수 읽기 권한은 IAM 역할에 부여됩니다.

이 프로세스에 대한 자세한 내용은 Amazon 문서에서 확인할 수 있습니다: 구독에 대한 AWS CloudWatch Logs 문서arrow-up-right.

circle-exclamation

만약 귀하가 Cloud Connected 고객인 경우, Panther 배포가 있는 계정과는 별도의 AWS 계정에 모든 로그 소스 인프라(예: S3 버킷 또는 IAM 역할)를 생성하세요.

아래 다이어그램을 참조하여 애플리케이션에서 CloudWatch Logs를 통해 Panther로 데이터가 어떻게 흐르는지 이해하세요 ( SaaS):

A diagram shows how data flows from a customer application into Panther, using the CloudWatch Data Transport. The flow is as follows: Application(s), CloudWatch log group, Subscription filter, Kinesis Firehose, S3 bucket, SNS topic, SQS, Panther application, IAM Role (assumed by Panther, S3 bucket, Panther application, parse & normalize, real-time detections, Long term retention in Snowflake, Alerts generated, Alert destination

hashtag
Panther에서 CloudWatch 로그 소스를 설정하는 방법

hashtag
1단계: Panther 콘솔에서 CloudWatch 구성

  1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

  2. 오른쪽 상단에서 새로 만들기.

  3. 을 클릭하세요 AWS CloudWatch Logs 타일을 클릭합니다.

  4. 페이지에서 구성 필드를 입력하세요:

    • 이름: CloudWatch 로그 소스의 설명적인 이름을 입력하세요.

    • 로그 그룹 이름: CloudWatch 로그 그룹의 고유 이름을 입력하세요.

    • AWS 계정 ID: CloudWatch 로그 그룹이 존재하는 AWS 계정 ID 번호를 입력하세요.

    • 패턴 필터(선택 사항): 이 필드를 사용하여 CloudWatch에서 수신된 로그 데이터를 필터링하세요. 자세한 내용은 필터 및 패턴 구문에 대한 Amazon 문서arrow-up-right.

    • 로그 유형: Panther가 CloudWatch 로그를 파싱하는 데 사용할 로그 유형을 선택하세요. 드롭다운 메뉴에서 최소 하나의 로그 유형을 선택해야 합니다.

  5. 클릭하세요 설정.

hashtag
2단계: IAM 역할 설정

소스에서 객체를 읽으려면 Panther는 특정 권한을 가진 AWS IAM 역할이 필요합니다. 이 역할을 설정하려면 다음 옵션 중 하나를 선택할 수 있습니다:

  • AWS 콘솔 UI 사용

    • 이는 Panther에서 설정하는 첫 번째 데이터 전송 소스인 경우 이 옵션을 선택하세요.

  • CloudFormation 또는 Terraform 파일

  • 모든 것을 직접 설정하고 싶습니다

On the IAM Role Setup page, there are three options: Using the AWS Console UI, CloudFormation or Terraform File, or I want to set everything up on my own

AWS 콘솔 UI 사용

AWS 콘솔을 사용하여 CloudFormation 스택을 시작하세요:

  1. 페이지에서 IAM 역할 생성 페이지에서, AWS 콘솔 UI 사용 타일에서 계속.

  2. 클릭하세요 을 클릭하세요.

    • 템플릿 URL이 미리 채워진 새 브라우저 탭의 AWS 콘솔로 리디렉션됩니다.

    • CloudFormation 스택은 소스에서 객체를 읽기 위한 최소 권한을 가진 AWS IAM 역할을 생성합니다.

    • AWS의 CloudFormation 스택에서 "Outputs" 탭을 클릭하고 역할 ARN을 확인하세요.

  3. Panther 콘솔로 돌아가서 필드에 값을 입력하세요:

    • (S3 소스를 설정하는 경우 해당 없음) 버킷 이름 – 필수: 출력된 S3 버킷 이름을 입력하세요.

    • 역할 ARN – 필수: 출력된 IAM 역할 ARN을 입력하세요.

  4. 클릭하세요 설정.

hashtag
다음으로 아래의 "수동 IAM 역할 생성: 추가 단계" 섹션으로 진행하세요.

3단계: 소스 설정 완료

The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"
The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day

  • 입니다. 데이터가 일정 기간 이후에 로그 소스에서 흐르지 않으면 알림을 받으므로 이 옵션을 활성화된 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다. 아직 하지 않았다면, 클릭하세요 스키마 첨부 또는 추론

hashtag
을 클릭하여 소스에 하나 이상의 스키마를 첨부하세요.

수집된 로그 보기 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 또는 검색.

hashtag
데이터 탐색기

수동 IAM 역할 생성: 추가 단계

hashtag
로그 소스 생성 시 IAM 역할을 수동으로 설정하기로 선택한 경우, 새 데이터가 도착할 때 S3 버킷이 알림을 보내도록 구성하기 위해 아래 지침도 따라야 합니다.

SNS 주제 생성

SNS 주제를 생성하는 방법 참고: 버킷이 이미 모든 객체 생성 이벤트

circle-info

를 SNS 주제로 전송하도록 구성되어 있다면, 대신 "기존 SNS 주제 수정" 탭을 따라 이 주제를 Panther의 입력 데이터 큐에 구독시키세요.

AWS 계정당 하나의 SNS 주제만 필요하므로 동일한 AWS 계정 내의 여러 S3 버킷이 동일한 SNS 주제를 사용할 수 있습니다. 동일한 AWS 계정의 다른 S3 버켓에 대해 이미 SNS 주제를 생성했다면 이 단계를 건너뛸 수 있습니다.

  1. 먼저 Panther에 새 데이터가 처리 준비되었음을 알리기 위해 SNS 주제와 SNS 구독을 생성해야 합니다.

  2. S3 버킷을 소유한 계정의 AWS 콘솔에 로그인하세요. S3 버킷이 위치한 AWS 리전을 선택하고 다음으로 이동하세요 CloudFormation

  3. 콘솔로. 스택(Stacks) 섹션으로 이동하세요. "스택 생성(Create Stack)"을 선택하세요 (새 리소스 포함). "템플릿 지정" 섹션에서 다음 Amazon S3 URL을 입력하세요: In the AWS CloudFormation console, there is a "Create Stack" dropdown menu in the upper right. In this image, the menu is expanded and the option "with new resources (standard)" is highlighted.

  4. https://panther-public-cloudformation-templates.s3-us-west-2.amazonaws.com/panther-log-processing-notifications/latest/template.yml

  5. 스택 이름

    • : 원하는 이름, 예:panther-log-processing-notifications-<bucket-label> MasterAccountId

    • : Panther가 배포된 12자리 AWS 계정 IDPantherRegion

    • : Panther가 배포된 리전SnsTopicName

    • : 알림을 받을 SNS 주제의 이름. 기본값은panther-notifications-topic 다음

  6. 클릭하세요 을 클릭한 다음, 을 클릭한 다음프로세스를 완료하세요. (새 리소스 포함). 이 스택에는 하나의 출력이 있습니다:

    • SnsTopicArn 기존 SNS 주제 수정.

hashtag
2단계: S3 버킷에서 이벤트 알림 구성

SNS 주제를 생성한 후 최종 단계는 S3 버킷에서 알림을 활성화하는 것입니다.

  1. AWS의 S3 콘솔arrow-up-right로 이동하여 관련 버킷을 선택하고 속성 탭을 클릭하세요.

  2. 다음 항목을 찾으세요: 이벤트 알림 카드를 찾으세요.

  3. 클릭하세요 이벤트 알림 생성 그리고 다음 설정을 사용하세요:

    • 일반 구성 섹션에서: 이벤트 이름

      • PantherEventNotifications: 접두사

      • (선택 사항): 키가 특정 문자로 시작하는 객체로 알림을 제한합니다 접미사

      • (선택 사항): 키가 특정 문자로 끝나는 객체로 알림을 제한합니다 이벤트 유형

      • 일반 구성 카드에서, 다음 옆의 박스를 선택하세요 참고: 버킷이 이미.

circle-info

중복되는 접두사 및 접미사를 사용하는 여러 필터 생성은 피하세요arrow-up-right. 그렇지 않으면 구성은 유효하지 않습니다.

  • 일반 구성 대상 카드:

    • 에서 대상SNS 주제 을 선택하고 이전 단계에서 생성하거나 수정한 SNS 주제를 선택하세요..

    • 다음을 위해 을 선택하고 이전 단계에서 생성하거나 수정한 SNS 주제를 선택하세요.CloudFormation 템플릿에서 기본 주제 이름을 사용한 경우, SNS 주제 이름은

      • 입니다. 다음.

      • 사용자 지정 SNS 주제를 사용하는 경우 올바른 정책이 설정되어 있고 Panther SQS 큐에 대한 구독이 있는지 확인하세요.

4. 클릭하세요 저장.

  • 위의 "3단계: 소스 설정 완료"로 돌아가세요.

이전S3 소스다음SQS 소스

마지막 업데이트

도움이 되었나요?