search
Knowledge BaseRelease NotesRequest Demo

EventBridge

고급 모니터링 및 디텍션을 위해 Amazon EventBridge 데이터를 Panther로 라우팅하기

hashtag
개요

Amazon EventBridgearrow-up-right 는 이벤트를 수신, 필터링, 변환, 라우팅 및 전달할 수 있게 해주는 서버리스 이벤트 버스입니다. 환경 내에서 AWS 서비스, 맞춤형 애플리케이션, SaaS 애플리케이션 및 마이크로서비스로부터 데이터를 수신하는 것을 지원하므로 이미 EventBridge를 사용하고 있을 수 있습니다.

circle-exclamation

만약 귀하가 Cloud Connected 고객은 Panther 배포가 위치한 AWS 계정과 별도의 AWS 계정에 모든 로그 소스 인프라를 생성하십시오.

hashtag
지원되는 대상

EventBridge는 많은 대상arrow-up-right 을(를) Panther가 연결할 수 있으며 여기에는 SNS 주제, SQS 대기열, Firehose 전달 스트림, S3 버킷 등이 포함됩니다. 이는 다양한 워크플로우를 가능하게 합니다. 예를 들면:

  • Okta -> EventBridge -> AWS SNS 주제 -> Panther SQS

    • 기본적으로 EventBridge는 로그를 detail 객체 내에 중첩합니다. Panther의 네이티브 Okta 스키마를 활용하려면 EventBridge 변환을 사용해야 합니다. 자세한 내용은 AWS의 문서arrow-up-right 에서 변환을 생성하는 방법을 참조하세요.

  • 맞춤형 애플리케이션 -> EventBridge -> Firehose 전달 스트림 -> S3 -> Panther

  • AWS GuardDuty -> EventBridge -> AWS SNS 주제 -> Panther SQS

hashtag
EventBridge를 Panther와 함께 사용하는 방법

일반적으로 적용 가능한 워크플로우에 대한 단계는 아래를 참조하세요.

GuardDuty 발견 결과를 EventBridge를 사용해 Panther로 전송하는 구체적인 예는 아래 섹션을 참조하세요.

hashtag
1단계: Amazon SNS에서 주제 생성

  1. AWS 콘솔에 로그인하고 다음으로 이동하세요: Amazon SNS > 주제(Topics)panther-secret 주제 생성.

    • 이미 SNS 주제가 생성되어 있으면 2단계로 건너뛰세요.

  2. 세부 정보를 작성하세요:

    • 유형: 표준.

    • 이름: panther-eventbridge-guard-duty

  3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 주제 생성.

  4. ARN 값을 복사하여 다음 단계에서 필요하므로 안전한 장소에 보관하세요.

    • 예시 ARN: arn:aws:sns:region:accountid:topic

hashtag
2단계: Panther에서 SQS 소스 생성

  1. 다음을 따르세요 SQS 로그 소스를 생성하기 위한 Panther의 문서.

    • 일반 구성 허용된 소스 ARN 필드에, 1단계에서 생성한 SNS 주제의 ARN을 입력하세요. 1단계.

  2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. SQS 큐 ARN SQS 큐의 ARN을 복사하세요. 다음 단계에서 필요하므로 안전한 장소에 보관하세요.

hashtag
3단계: SNS 주제에 대한 SQS 큐 구독 생성

hashtag
4단계: EventBridge에서 룰 생성 또는 수정

hashtag
룰 생성

  1. AWS에서 EventBridge로 이동하세요.

  2. 이동: 이벤트 > 룰(Events > Rules) 그런 다음 클릭 룰 생성.

    1. 룰 세부정보 정의.

      • 이름, 설명, 이벤트 버스 및 룰 유형을 제공합니다.

    2. 이벤트 패턴 작성.

      • 데이터 소스와 매칭할 패턴을 선택하세요

    3. 대상 선택.

      • 매칭된 데이터를 라우팅할 위치를 선택하세요

    4. 태그 구성(선택 사항).

      • 이 AWS 리소스에 라벨을 추가하도록 선택하세요

  3. "검토 및 생성(Review and Create)" 페이지에서 클릭하세요 룰 생성.

hashtag
기존 룰 수정

  1. AWS에서, 다음으로 이동하세요: 이벤트 > 룰(Events > Rules) 그런 다음 수정하려는 룰을 클릭하세요.

  2. 클릭하여 대상 탭으로 이동한 다음 클릭하세요 편집을 클릭.

    1. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 다른 대상 추가.

    2. 대상 유형으로 "AWS 서비스(AWS Service)"를 사용하고, 대상은 "SNS 주제(SNS topic)"로 선택한 다음 이전 단계에서 Panther 관리 SQS를 추가한 SNS 주제를 선택하세요.

  3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 다음인 경우 JSON 로그를 업로드했다면 클릭하세요 다음그런 다음 왼쪽에서 클릭하세요 룰 업데이트.

데이터 파이프라인이 완료되었으므로 Panther 콘솔에서 로그 이벤트가 도착하는 것을 보기 시작할 수 있으며, 스키마를 조정하고 알러트를 트리거할 수 있는 디텍션을 생성할 수 있습니다.

hashtag
엔드-투-엔드 예시: EventBridge를 통해 GuardDuty 발견 결과를 Panther로 전송

아래 단계는 EventBridge 내에서 사용할 필요한 AWS 리소스를 신속하게 구성하여 AWS GuardDuty 데이터에 대해 고급 모니터링을 수행할 수 있도록 돕기 위한 것입니다.

Panther는 S3 또는 SQS를 통한 GuardDuty 통합에 대한 별도의 문서를 제공합니다 를 따르십시오.

An Amazon EventBridge diagram

hashtag
데이터 파이프라인

아래 단계는 다음 데이터 파이프라인을 통해 진행됩니다:

GuardDuty -> EventBridge -> AWS SNS 주제 -> Panther SQS

hashtag
1단계: Amazon SNS에서 주제 생성

  1. AWS 콘솔에 로그인하고 다음으로 이동하세요: Amazon SNS > 주제(Topics)panther-secret 주제 생성.

    • 이미 SNS 주제가 생성되어 있으면 2단계로 건너뛰세요.

  2. 세부 정보를 작성하세요:

    • 유형: 표준.

    • 이름: panther-eventbridge-guard-duty

  3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 주제 생성.

  4. ARN 값을 복사하여 다음 단계에서 필요하므로 안전한 장소에 보관하세요.

    • 예시 ARN: arn:aws:sns:region:accountid:topic

hashtag
2단계: Panther에서 SQS 소스 생성

  1. 다음을 따르세요 SQS 로그 소스를 생성하기 위한 Panther의 문서.

    1. 일반 구성 허용된 소스 ARN 필드에, 1단계에서 생성한 SNS 주제의 ARN을 입력하세요. 1단계.

  2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. SQS 큐 ARN SQS 큐의 ARN을 복사하세요. 다음 단계에서 필요하므로 안전한 장소에 보관하세요.

hashtag
3단계: SNS 주제에 대한 SQS 큐 구독 생성

hashtag
4단계: EventBridge에서 룰 생성

이 단계들은 GuardDuty 발견 결과를 EventBridge를 통해 Panther로 전송하는 방법을 보여줍니다. 또한 샘플 GuardDuty 발견 결과를 생성하거나 누군가 TOR에서 역할을 맡을 때 경고하도록 룰을 작성하는 옵션도 있습니다.

  1. AWS 콘솔에서 GuardDuty로 이동하여 활성화되어 있는지 확인하세요.

  2. EventBridge로 이동한 다음 다음으로 가세요: 이벤트 > 룰(Events > Rules).

  3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 룰 생성.

  4. 룰 세부 정보 섹션을 작성하세요:

    • 이름: 설명적인 이름을 입력하세요.

    • 설명: 설명을 입력하세요(예: GuardDuty의 이벤트를 필터링하여 Panther 관리 SQS로 전송)

    • 이벤트 버스: 드롭다운 메뉴를 로 설정하세요 이는.

    • 선택한 이벤트 버스에서 룰을 활성화합니다: 이 설정을 활성화하려면 토글을 클릭하세요.

    • 룰 유형: 이벤트 패턴이 있는 룰.

  5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 다음.

  6. "이벤트 패턴 빌드(Build the event pattern)" 페이지에서 다음을 작성하세요:

    • 이벤트 소스: AWS 이벤트 또는 EventBridge 파트너 이벤트.

    • 이벤트 패턴:

      • 이벤트 소스: AWS 서비스.

      • AWS 서비스: GuardDuty.

      • 이벤트 유형: GuardDuty Finding.

  7. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 다음.

  8. "대상 선택(Select target(s))" 페이지에서 대상 1에 대한 양식을 작성하세요:

    • 대상 유형: AWS 서비스.

    • 대상 선택: SNS 토픽 드롭다운 메뉴에서 선택하세요.

    • 주제: 1단계에서 생성한 주제를 입력하세요 (panther-eventbridge-guard-duty).

    • "추가 설정(Additional Settings)"에서:

      • 대상 입력 구성: 매칭된 이벤트의 일부.

      • 매칭된 이벤트의 일부를 지정하세요: $.detail

      • 재시도 정책: 재시도 옵션의 기본값을 유지하세요.

      • 데드레터 큐: 기본 옵션을 유지하세요.

    • 여기에 추가 대상을 추가하거나 Panther를 계층화할 수 있는 기회가 있다는 점에 유의하세요!

  9. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 다음.

  10. 선택적으로 태그를 구성하세요.

  11. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 다음.

  12. "검토 및 생성(Review and Create)" 페이지에서 클릭하세요 룰 생성.

이제 GuardDuty가 발견 결과를 생성하면 해당 이벤트가 Panther로 라우팅되어 디텍션을 작성하여 알러트를 발생시킬 수 있습니다.

hashtag
샘플 발견 결과 생성

GuardDuty는 샘플 발견 결과를 생성할 수 있으므로 이를 사용하여 엔드-투-엔드 테스트를 수행할 수 있습니다.

  1. GuardDuty에서 다음으로 이동하세요: 설정 > 샘플 발견(Settings > Sample Findings).

  2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 샘플 발견 생성(Generate Sample Findings) 테스트용으로 사용하세요.

예를 들어 누군가 TOR를 통해 AWS에 접근했을 때 알기를 원한다면 Panther 내의 룰 예시는 다음과 같을 수 있습니다:

hashtag
을 클릭하여 소스에 하나 이상의 스키마를 첨부하세요.

수집된 로그 보기 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 이전에 생성한 Snowflake 사용자 이름, 예를 들면 panther_monitor.

이전SNS 소스다음Google Cloud 소스

마지막 업데이트

도움이 되었나요?