EventBridge

개요

Amazon EventBridge 수신, 필터링, 변환, 라우팅 및 이벤트 전달을 가능하게 하는 서버리스 이벤트 버스입니다. 환경 내에서 AWS 서비스, 맞춤형 애플리케이션, SaaS 애플리케이션 및 마이크로서비스로부터 데이터를 수신하는 것을 이미 EventBridge로 사용하고 있을 수 있습니다.

지원되는 대상

EventBridge는 많은 대상 을(를) Panther가 연결할 수 있도록 지원하며, 여기에는 SNS 주제, SQS 큐, Firehose 전송 스트림, S3 버킷 등이 포함됩니다. 이를 통해 다양한 워크플로우가 가능합니다. 예를 들면:

• Okta -> EventBridge -> AWS SNS 주제 -> Panther SQS

  • 기본적으로 EventBridge는 로그를 detail 객체 안에 중첩합니다. Panther의 기본 Okta 스키마를 활용하려면 EventBridge 변환을 사용해야 합니다. 자세한 내용은 AWS 문서 에서 변환 생성 방법을 참조하세요.

• 맞춤 애플리케이션 -> EventBridge -> Firehose 전송 스트림 -> S3 -> Panther

• AWS GuardDuty -> EventBridge -> AWS SNS 주제 -> Panther SQS

  • 다음 예를 참조하여 GuardDuty 결과를 EventBridge를 통해 Panther로 전송하는 방법.

EventBridge를 Panther와 함께 사용하는 방법

일반적으로 적용 가능한 워크플로우에 대한 단계는 아래를 참조하세요.

EventBridge를 사용하여 GuardDuty 결과를 Panther로 전송하는 구체적인 예는 아래 섹션을 참조하세요.

1단계: Amazon SNS에서 주제 생성

1. AWS 콘솔에 로그인하고 다음으로 이동하세요. Amazon SNS > 주제(Topics). 클릭하세요 주제 생성(Create Topic).

   • 이미 SNS 주제가 생성되어 있는 경우 2단계로 건너뛰세요.

2. 세부정보를 작성하세요:

   • 유형: 선택 표준(Standard).

   • 이름(Name): panther-eventbridge-guard-duty

3. 를 클릭하세요 주제 생성.

4. ARN 값을 복사하여 다음 단계에서 필요하므로 안전한 위치에 보관하세요.

   • 예시 ARN: arn:aws:sns:region:accountid:topic

2단계: Panther에서 SQS 소스 생성

1. 다음 지침을 따르세요 SQS 로그 소스를 생성하기 위한 Panther 문서.

   • 에서 허용된 소스 ARN(Allowed Source ARNs) 필드에 1단계에서 생성한 SNS 주제의 ARN을 입력하세요. 1단계.

2. 를 클릭하세요 SQS 큐 ARN SQS 큐의 ARN을 복사하려면 해당 항목을 참조하세요. 다음 단계에서 필요하므로 안전한 위치에 저장하세요.

3단계: SNS 주제를 SQS 큐에 구독으로 추가

• 다음 지침을 따르세요 SQS 큐에 대한 SNS 구독을 생성하기 위한 Panther의 지침.

  • 1단계에서 생성한 주제를 선택하세요. 1단계.

  • 에서 프로토콜(Protocol) 필드에 다음을 입력하세요. Amazon SQS.

  • 에서 엔드포인트(Endpoint) 필드에는 2단계에서 생성한 SQS 큐의 ARN을 사용하세요. 2단계.

4단계: EventBridge에서 규칙 생성 또는 수정

규칙 생성

1. AWS에서 EventBridge로 이동하세요.

2. 다음으로 이동하세요: Events > Rules 그런 다음 클릭하세요 규칙 생성(Create rule).

   1. 규칙 세부정보 정의(Define rule detail).

      • 이름, 설명, 이벤트 버스 및 규칙 유형을 제공하세요.

   2. 이벤트 패턴 작성(Build event pattern).

      • 데이터의 소스와 일치시킬 패턴을 선택하세요.

   3. 대상 선택(Select target(s)).

      • 일치한 데이터를 라우팅할 위치를 선택하세요.

   4. 태그 구성(선택 사항).

      • 이 AWS 리소스에 레이블을 추가할지 선택하세요.

3. "검토 및 생성(Review and Create)" 페이지에서 클릭하세요 규칙 생성(Create rule).

기존 규칙 수정

1. AWS에서 다음으로 이동하세요: Events > Rules 그런 다음 수정하려는 규칙을 클릭하세요.

2. 다음 항목을 클릭하세요 대상(Targets) 탭에서 클릭하세요 편집.

   1. 를 클릭하세요 다른 대상 추가(Add another target).

   2. "대상 유형(Target type)"으로 "AWS 서비스"를 사용하고 대상으로 "SNS 주제"를 선택한 다음 이전 단계에서 Panther 관리형 SQS를 추가한 SNS 주제를 선택하세요.

3. 를 클릭하세요 다음로 이동한 후 다음그런 다음 클릭 규칙 업데이트.

데이터 파이프라인이 완료되면 Panther 콘솔에서 로그 이벤트가 도착하는 것을 보기 시작할 수 있으며, 여기서 스키마를 조정하고 알림을 트리거할 수 있는 탐지(Detections)를 생성할 수 있습니다.

종단 간 예시: EventBridge를 통해 GuardDuty 결과를 Panther로 전송

아래 단계는 EventBridge에서 사용하기 위해 필요한 AWS 리소스를 빠르게 구성하여 AWS GuardDuty 데이터에 대한 고급 모니터링을 수행할 수 있도록 돕기 위한 것입니다.

Panther에는 S3 또는 SQS를 통한 GuardDuty 통합에 대한 별도의 문서가 있습니다 을 사용하세요.

데이터 파이프라인

아래 단계는 다음 데이터 파이프라인을 따라 진행합니다:

GuardDuty -> EventBridge -> AWS SNS 주제 -> Panther SQS

1단계: Amazon SNS에서 주제 생성

1. AWS 콘솔에 로그인하고 다음으로 이동하세요. Amazon SNS > 주제(Topics). 클릭하세요 주제 생성(Create Topic).

   • 이미 SNS 주제가 생성되어 있는 경우 2단계로 건너뛰세요.

2. 세부정보를 작성하세요:

   • 유형: 선택 표준(Standard).

   • 이름(Name): panther-eventbridge-guard-duty

3. 를 클릭하세요 주제 생성.

4. ARN 값을 복사하여 다음 단계에서 필요하므로 안전한 위치에 보관하세요.

   • 예시 ARN: arn:aws:sns:region:accountid:topic

2단계: Panther에서 SQS 소스 생성

1. 다음 지침을 따르세요 SQS 로그 소스를 생성하기 위한 Panther 문서.

   1. 에서 허용된 소스 ARN(Allowed Source ARNs) 필드에 1단계에서 생성한 SNS 주제의 ARN을 입력하세요. 1단계.

2. 를 클릭하세요 SQS 큐 ARN SQS 큐의 ARN을 복사하려면 해당 항목을 참조하세요. 다음 단계에서 필요하므로 안전한 위치에 저장하세요.

3단계: SNS 주제를 SQS 큐에 구독으로 추가

• 다음 지침을 따르세요 SQS 큐에 대한 SNS 구독을 생성하기 위한 Panther의 지침.

  • 1단계에서 생성한 주제를 선택하세요. 1단계.

  • 에서 프로토콜(Protocol) 필드에 다음을 입력하세요. Amazon SQS.

  • 에서 엔드포인트(Endpoint) 필드에는 2단계에서 생성한 SQS 큐의 ARN을 사용하세요. 2단계.

4단계: EventBridge에서 규칙 생성

이 단계들은 GuardDuty 결과를 EventBridge를 통해 Panther로 보낼 수 있는 방법을 보여줍니다. 또한 샘플 GuardDuty 결과를 생성하거나 누군가 TOR에서 역할을 맡을 때 알림을 생성하도록 규칙을 작성할 수 있는 옵션도 있습니다.

1. AWS 콘솔에서 GuardDuty가 활성화되어 있는지 확인하려면 GuardDuty로 이동하세요.

2. EventBridge로 이동한 다음 다음으로 이동하세요: Events > Rules.

3. 를 클릭하세요 규칙 생성(Create rule).

4. 규칙 세부사항 섹션을 작성하세요:

   • 이름(Name): 설명적인 이름을 입력하세요.

   • 설명(Description): 설명을 입력하세요(예: GuardDuty에서 이벤트를 필터링하여 Panther 관리형 SQS로 전송)

   • 이벤트 버스: 드롭다운 메뉴를 다음으로 설정하세요 경고를 보낼 대상의 ID들.

   • 선택한 이벤트 버스에서 규칙 활성화: 이 설정을 활성화하려면 토글을 클릭하세요.

   • 규칙 유형: 선택 이벤트 패턴을 가진 규칙.

5. 를 클릭하세요 다음.

6. "이벤트 패턴 작성(Build the event pattern)" 페이지에서 다음을 작성하세요:

   • 이벤트 소스: 선택 AWS 이벤트 또는 EventBridge 파트너 이벤트.

   • 이벤트 패턴:

     • 이벤트 소스: 선택 AWS 서비스.

     • AWS 서비스: 선택 GuardDuty.

     • 이벤트 유형: 선택 GuardDuty 결과(GuardDuty Finding).

7. 를 클릭하세요 다음.

8. "대상 선택(Select target(s))" 페이지에서 대상 1의 양식을 작성하세요:

   • 대상 유형: 선택 AWS 서비스.

   • 대상 선택: 선택 SNS 주제 드롭다운 메뉴에서 선택하세요.

   • 주제(Topic): 1단계에서 생성한 주제(를) 입력하세요 (panther-eventbridge-guard-duty).

   • "추가 설정(Additional Settings)" 아래에서:

     • 대상 입력 구성(Configure target input): 선택 일치된 이벤트의 일부(Part of the matched event).

     • 일치된 이벤트의 일부를 지정하세요: 선택 $.detail

     • 재시도 정책(Retry policy): 재시도 옵션은 기본값을 유지하세요.

     • 데드레터 큐(Dead-letter queue): 기본 옵션을 그대로 두세요.

   • 여기에서 추가 대상을 추가하거나 Panther를 계층으로 추가할 기회가 있음을 유의하세요!

9. 를 클릭하세요 다음.

10. 선택적으로 태그를 구성하세요.

11. 를 클릭하세요 다음.

12. "검토 및 생성(Review and Create)" 페이지에서 클릭하세요 규칙 생성(Create rule).

이제 GuardDuty가 결과를 생성하면 해당 이벤트가 Panther로 라우팅되어 우리가 알림을 발생시킬 탐지를 작성할 수 있습니다.

샘플 결과 생성

GuardDuty는 샘플 결과 생성을 허용하므로 이를 사용하여 종단 간 테스트를 수행할 수 있습니다.

1. GuardDuty에서 다음으로 이동하세요: 설정(Settings) > 샘플 결과(Sample Findings).

2. 를 클릭하세요 샘플 결과 생성(Generate Sample Findings) 를 사용하여 테스트하세요.

누군가 TOR를 통해 AWS에 접속했을 때를 알고 싶다면 Panther 내의 예시 규칙은 다음과 같을 수 있습니다:

수집된 로그 보기

로그 소스가 구성된 후, 다음을 사용하여 수집된 데이터를 검색할 수 있습니다 검색 로그/리소스 유형별로 규칙을 폴더로 그룹화하는 것을 권장합니다(예: 데이터 탐색기.