# S3 소스
## 개요
Panther는 Amazon S3 버킷을 데이터 전송(Data Transport)으로 구성하여 S3 버킷에서 보안 로그를 가져올 수 있도록 지원합니다. 먼저 Panther 콘솔에서 S3 소스를 설정한 다음 S3 버킷이 새 데이터를 수신할 때 알림을 전송하도록 버킷을 구성합니다.
데이터는 압축된 상태(또는 비압축)로 전송될 수 있습니다. 압축 사양에 대해 자세히 알아보려면 [Panther에서 압축된 데이터 수집](https://docs.panther.com/ko/data-onboarding/data-transports/..#ingesting-compressed-data-in-panther).
{% hint style="warning" %}
만약 귀하가 [Cloud Connected](https://docs.panther.com/ko/system-configuration/panther-deployment-types/cloud-connected) 고객의 경우 Panther 배포가 위치한 계정과 별도의 AWS 계정에서 모든 로그 소스 인프라를 생성하십시오.
{% endhint %}
아래 다이어그램을 참조하여 S3를 사용하여 애플리케이션에서 Panther로 데이터가 어떻게 흐르는지 이해하십시오 (in [SaaS](https://docs.panther.com/ko/system-configuration/panther-deployment-types#saas)):
## Panther에서 AWS S3 버킷 로그 소스를 설정하는 방법
{% hint style="info" %}
아래 지침은 Panther 콘솔에서 S3 통합을 수동으로 설정하는 방법을 설명합니다. 또한 S3 로그 소스를 관리하는 것도 가능합니다 [Panther API를 사용하여](https://docs.panther.com/ko/panther/api/graphql/log-source#creating-an-s3-log-source), 또는 [Terraform 사용](https://docs.panther.com/ko/panther/terraform).
{% endhint %}
Panther에서 S3 로그 소스를 설정하려면 아래 단계를 따르십시오. 또한 [데이터 수집 비디오 개요](https://docs.panther.com/ko/data-onboarding/..#video-overview) 에서 S3 소스 설정에 대한 빠른 안내를 볼 수 있습니다.
### 전제 조건
* S3 버킷이 있습니다. 버킷을 생성해야 하는 경우 다음을 따르십시오 [Amazon의 버킷 생성 문서](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html).
### 1단계: Panther에서 S3 버킷 소스 구성
1. Panther 콘솔의 왼쪽 탐색 창에서 **구성** > **로그 소스**.
2. 오른쪽 상단 모서리에서 클릭 **새로 만들기**.
3. 을 클릭하세요 **AWS S3 버킷** 타일을 클릭합니다.
4. 페이지에서 **구성** 페이지에서 다음 필드에 대한 값을 입력하십시오:
* **이름**: S3 소스에 대한 설명 이름을 입력하십시오.
* **AWS 계정 ID**: S3 버킷이 위치한 12자리 AWS 계정 ID를 입력하십시오.
* **버킷 이름**: 온보딩할 S3 버킷의 ID 또는 이름을 입력하십시오.
* **KMS 키 ARN(선택 사항)**: 데이터가 KMS-SSE로 암호화된 경우 KMS 키의 ARN을 제공하십시오.
5. 이 소스에 스키마를 연결하거나 포함 또는 제외 버킷 접두사를 구성하려면 클릭하십시오 **접두사 및 스키마 구성(선택 사항)**. 소스가 설정된 후에도 이러한 작업을 수행할 수 있습니다.\
1. 일반 구성 **S3 접두사 및 스키마** 팝업 모달에서 S3의 데이터 저장 구조에 따라 S3 접두사, 스키마 및 제외 필터의 조합을 생성하십시오.
* 버킷의 모든 데이터에 하나 이상의 스키마를 연결하려면 **S3 접두사** 필드를 비워 두십시오. 이렇게 하면 와일드카드(\*) 접두사가 생성됩니다.\
2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **변경 사항 적용**.
6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정**.
{% hint style="warning" %}
Panther에서 S3 로그 소스를 생성한 후 S3 버킷에 KMS 키를 추가한 경우, KMS 키와 함께 Panther에서 로그 소스를 다시 생성해야 합니다. 기존 소스를 편집하여 KMS 키를 추가해도 동작하지 않습니다.
{% endhint %}
### 2단계: IAM 역할 설정
소스에서 객체를 읽으려면 Panther는 특정 권한을 가진 AWS IAM 역할이 필요합니다. 이 역할을 설정하려면 다음 옵션 중 하나를 선택할 수 있습니다:
* **AWS 콘솔 UI 사용**
* 이는 Panther에서 설정하는 첫 번째 데이터 전송 소스인 경우 이 옵션을 선택하세요.
* **CloudFormation 또는 Terraform 파일**
* **모든 것을 직접 설정하고 싶습니다**
{% tabs %}
{% tab title="AWS 콘솔 UI 사용" %}
**AWS 콘솔 UI 사용**
AWS 콘솔을 사용하여 CloudFormation 스택을 시작하세요:
1. 페이지에서 **IAM 역할 생성** 페이지에서, **AWS 콘솔 UI 사용** 타일에서 **계속**.
2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **을 클릭하세요**.
* 템플릿 URL이 미리 채워진 새 브라우저 탭의 AWS 콘솔로 리디렉션됩니다.
* CloudFormation 스택은 소스에서 객체를 읽기 위한 최소 권한을 가진 AWS IAM 역할을 생성합니다.
* 을 클릭하세요 **출력** AWS에서 CloudFormation 스택의 탭을 확인하고 Role ARN을 기록하십시오.
3. Panther 콘솔로 돌아가서 필드에 값을 입력하세요:
* **역할 ARN**: 출력된 IAM 역할 ARN을 입력하세요.
4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정**.
{% endtab %}
{% tab title="CloudFormation 또는 Terraform 파일" %}
**CloudFormation 또는 Terraform 파일**
Panther에서 제공하는 CloudFormation 또는 Terraform 템플릿을 사용하여 IAM 역할을 생성하세요:
1. 페이지에서 **IAM 역할 생성** 페이지에서, **CloudFormation 또는 Terraform 파일** 타일에서 **계속**.
2. 페이지에서 **CloudFormation 또는 Terraform 템플릿 파일** 페이지에서, 사용하려는 인프라스트럭처 코드(IaC) 공급자에 따라 **CloudFormation 템플릿** 이전에 생성한 Snowflake 사용자 이름, 예를 들면 **Terraform 템플릿**.
3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **템플릿 다운로드**.
* Terraform 템플릿은 또한 [이 GitHub 링크](https://github.com/panther-labs/panther-auxiliary/tree/9365346d8698e730bd623086e24ca6f2a34c4b5c/terraform/panther_log_analysis_iam).
4. 에서 찾을 수 있습니다. CLI에서 **워크플로우** 섹션의 명령을 실행하세요.
5. IaC 파이프라인에 템플릿을 배포한 후 필드에 값을 입력하세요:
* **역할 ARN**: 출력된 IAM 역할 ARN을 입력하세요.
6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정**.
{% endtab %}
{% tab title="모든 것을 직접 설정하고 싶습니다" %}
**모든 것을 직접 설정하고 싶습니다**
IAM 역할을 수동으로 생성한 다음 Panther에 역할 ARN을 입력하세요. IAM 역할을 수동으로 설정할 때는 S3 버킷이 새 데이터가 도착할 때 알림을 보내도록 구성하기 위해 아래의 "수동 IAM 역할 생성: 추가 단계" 지침도 따라야 합니다.
1. 페이지에서 **IAM 역할 생성** 페이지에서 **모든 것을 직접 설정하고 싶습니다**.
2. 자체적으로 또는 자동화로 IAM 역할을 생성하세요.
* 역할에 연결될 IAM 정책에는 아래에 정의된 문(statement)을 포함해야 합니다:
```json
{
역할로 대체하십시오.
{
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::",
"Effect": "Allow"
},
{
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::/",
"Effect": "Allow"
}
]
}
```
* S3 버킷이 AWS KMS를 사용한 서버 측 암호화로 구성된 경우, Panther API에 해당 KMS 키에 대한 접근을 허용하는 추가 문을 포함해야 합니다. 이 경우 정책은 대략 다음과 같이 보입니다:
```json
{
역할로 대체하십시오.
{
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::",
"Effect": "Allow"
},
{
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::/",
"Effect": "Allow"
},
{
"Action": ["kms:Decrypt", "kms:DescribeKey"],
"Resource": "arn:aws:kms:::key/",
"Effect": "Allow"
}
]
}
```
* 위 외에도 Panther 콘솔에서 S3 버킷의 내용을 보려면(예: [과거 데이터로부터 사용자 지정 스키마 추론](https://github.com/panther-labs/panther-docs/blob/main/docs/gitbook/data-onboarding/data-onboarding/custom-log-types/README.md#inferring-custom-schemas-from-historical-s3-data) 기능을 활용하기 위해) `s3:ListBucket` 작업을 추가해야 합니다:
```json
{
역할로 대체하십시오.
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::",
"Effect": "Allow"
},
{
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::/",
"Effect": "Allow"
}
]
}
```
3. 역할에 다음의 신뢰 정책(AssumeRolePolicyDocument)을 추가하여 Panther가 이 역할을 맡을 수 있도록 하세요: `AssumeRolePolicyDocument` 문(statement):
```json
{
역할로 대체하십시오.
{
의 값으로는 업데이트 중인 비밀의 ARN을 사용하십시오.
"Principal": {
"AWS": [
"arn::iam:::root"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"Bool": {
"aws:SecureTransport": true
}
}
}
]
}
```
* 다음 값을 채우세요 `` Panther 백엔드를 실행하는 계정의 파티션으로 (예: `aws`) 채우세요. 참고로 우리는 `aws-cn` 이전에 생성한 Snowflake 사용자 이름, 예를 들면 `aws-us-gov`.
* 다음 값을 채우세요 `에 배포하지 않습니다.` \
4. Panther가 배포된 12자리 계정 ID로 채우세요. AWS 계정 ID를 얻으려면: Panther 콘솔 오른쪽 상단의 톱니바퀴 아이콘을 클릭하여 설정으로 이동하면 페이지 하단에 AWS 계정 ID가 표시됩니다.
* **역할 ARN**: 출력된 IAM 역할 ARN을 입력하세요.
5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **Panther 콘솔에서 필드에 값을 입력하세요:**
6. 아래의 [데이터 탐색기](#manual-iam-role-creation-additional-steps) 섹션으로 진행하십시오.
{% endtab %}
{% endtabs %}
### 다음으로 아래의 "수동 IAM 역할 생성: 추가 단계" 섹션으로 진행하세요.
3단계: 소스 설정 완료
* 권한 오류가 감지되면 표시되며 IAM 역할 구성을 다시 시도하라는 메시지가 표시됩니다.
* 성공 화면으로 이동됩니다: [선택적으로 하나 이상의](https://docs.panther.com/detections/panther-managed/packs).
* 사용자를 사용할 것이며, **가 활성화될 수 있습니다** "이벤트가 처리되지 않을 때 알러트를 트리거" **설정의 기본값은**예
* 아직 수행하지 않았다면 소스에 하나 이상의 스키마를 연결하십시오.
1. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **아직 하지 않았다면, 클릭하세요**.
2. Panther에서 관리하는 스키마를 연결하거나 [이 지침을 따라 이전 S3 데이터에서 사용자 정의 스키마를 유추하십시오](https://docs.panther.com/ko/custom-log-types#inferring-custom-schemas-from-historical-s3-data).
## 을 클릭하여 소스에 하나 이상의 스키마를 첨부하세요.
수집된 로그 보기 [로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다](https://docs.panther.com/ko/search/search-tool) 이전에 생성한 Snowflake 사용자 이름, 예를 들면 [panther\_monitor](https://docs.panther.com/ko/search/data-explorer).
## 권장 S3 버킷 만료 정책
S3 버킷에 추가된 데이터를 만료하기 전에 최소 7일 동안 보관하는 것이 권장됩니다. 일반적인 상황에서는 Panther가 S3 버킷에 새 객체가 추가된 지 몇 분 내에 처리하지만, Panther 수집 서비스에 가용성 문제가 있는 경우 새 객체가 처리되는 데 더 오래 걸릴 수 있습니다.
## 데이터 탐색기
수동 IAM 역할 생성: 추가 단계
### 로그 소스 생성 시 IAM 역할을 수동으로 설정하기로 선택한 경우, 새 데이터가 도착할 때 S3 버킷이 알림을 보내도록 구성하기 위해 아래 지침도 따라야 합니다.
{% tabs %}
{% tab title="1단계: SNS 주제 생성 또는 수정" %}
**SNS 주제 생성**
SNS 주제를 생성하는 방법 `참고: 버킷이 이미` 모든 객체 생성 이벤트
{% hint style="info" %}
를 SNS 주제로 전송하도록 구성되어 있다면, 대신 "기존 SNS 주제 수정" 탭을 따라 이 주제를 Panther의 입력 데이터 큐에 구독시키세요.
{% endhint %}
AWS 계정당 하나의 SNS 주제만 필요하므로 동일한 AWS 계정 내의 여러 S3 버킷이 동일한 SNS 주제를 사용할 수 있습니다. 동일한 AWS 계정의 다른 S3 버켓에 대해 이미 SNS 주제를 생성했다면 이 단계를 건너뛸 수 있습니다.
1. 먼저 Panther에 새 데이터가 처리 준비되었음을 알리기 위해 SNS 주제와 SNS 구독을 생성해야 합니다.
2. S3 버킷을 소유한 계정의 AWS 콘솔에 로그인하세요. **S3 버킷이 위치한 AWS 리전을 선택하고 다음으로 이동하세요** CloudFormation
3. 콘솔로. **스택(Stacks) 섹션으로 이동하세요.** "스택 생성(Create Stack)"을 선택하세요 **(새 리소스 포함).** "템플릿 지정" 섹션에서 다음 Amazon S3 URL을 입력하세요:\
4.
```
다음 스택 세부 정보를 지정하세요:
```
5. 스택 이름
* **: 원하는 이름, 예:**panther-log-processing-notifications-\ `MasterAccountId`
* **: Panther가 배포된 12자리 AWS 계정 ID**PantherRegion
* **: Panther가 배포된 리전**SnsTopicName
* **: 알림을 받을 SNS 주제의 이름. 기본값은**panther-notifications-topic `다음`
6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **다음**, **다음**프로세스를 완료하세요. **(새 리소스 포함).** 이 스택에는 하나의 출력이 있습니다:
* SnsTopicArn `기존 SNS 주제 수정`.
{% endtab %}
{% tab title="기존 SNS 주제 수정 방법" %}
**기존 SNS 주제를 S3 버킷 알림 전송에 사용하려는 경우 아래 단계를 따르세요. SNS 주제는 S3 버킷과 동일한 리전에 있어야 합니다.**
1단계: SNS 주제에 대해 KMS 암호화 활성화
**AWS 콘솔에 로그인하여 KMS로 이동하세요.**
1. 암호화에 사용할 KMS 키를 선택하세요.
2. 정책을 편집하여 SNS 주제 및 S3 버킷 알림에 사용될 수 있도록
3. 적절한 권한 [이 포함되었는지 확인하세요.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/grant-destinations-permissions-to-s3.html#key-policy-sns-sqs) 예시 정책:
* "Sid": "Allow access for Key User (SNS Service Principal)",
```json
{
"Service": "sns.amazonaws.com"
의 값으로는 업데이트 중인 비밀의 ARN을 사용하십시오.
"Principal": {
"kms:GenerateDataKey*",
},
"Action": [
"kms:Decrypt"
"Resource": ""
],
"Sid": "Allow access for Key User (S3 Service Principal)",
},
{
"Service": "s3.amazonaws.com"
의 값으로는 업데이트 중인 비밀의 ARN을 사용하십시오.
"Principal": {
"Resource": "arn:aws:s3:::"
},
"Action": [
"kms:Decrypt"
"Resource": ""
],
SNS 주제의
}
```
4. 을 클릭하세요 **암호화** 탭에서,
5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **활성화**하고 암호화에 사용할 KMS 키를 지정하세요.
**2단계: SNS 주제 접근 정책 수정**
SNS 주제와 Panther의 로그 처리 SQS 큐 간의 구독을 생성하세요.
1. 콘솔로. [SNS 콘솔로 이동](https://us-west-2.console.aws.amazon.com/sns/v3/home#/topics) 하여 현재 이벤트를 수신하는 SNS 주제를 선택하세요.
* 이 SNS 주제의 ARN을 메모하세요.
2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **편집을 클릭** 하고 아래로 스크롤하여 **접근 정책** 카드를 찾으세요.
3. 주제의 정책에 다음 문장을 추가하세요: **접근 정책**:
```json
{
"Sid": "CrossAccountSubscription",
의 값으로는 업데이트 중인 비밀의 ARN을 사용하십시오.
"Principal": {
"AWS": "arn:aws:iam:::root"
},
"Action": "sns:Subscribe",
"Sid": "Allow access for Key User (S3 Service Principal)",
}
```
* 다음 값을 채우세요 `에 배포하지 않습니다.` Panther가 배포된 12자리 계정 ID로 대체하세요. 이 AWS 계정 ID는 Panther 콘솔에서 설정(Settings)으로 이동한 후 페이지 하단에서 확인할 수 있습니다. **설정** 으로 이동하려면 **톱니** 아이콘을 클릭하세요.**.**
* 다음 값을 채우세요 `SNS-TOPIC-ARN` 앞서 문서에서 메모한 ARN으로 설정하세요.
**3단계: SNS 구독을 SQS에 생성**
Panther 마스터 계정의 SQS 큐에 대한 구독을 생성하세요.
1. SNS 콘솔에서, **구독(Subscriptions)**.
2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **구독 생성**.
3. 양식을 작성하세요:
* **주제 ARN**: 사용하려는 SNS 주제를 선택하세요.
* **프로토콜**: **Amazon SQS**.
* **엔드포인트**: `arn:aws:sqs:::panther-input-data-notifications-queue`
* **원시 메시지 전달 활성화**: 이 박스를 체크하지 마세요. 원시 메시지 전달은 비활성화되어야 합니다.
4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **구독 생성**.
{% hint style="info" %}
구독이 "보류 중(Pending)" 상태이고 즉시 확인되지 않는 경우, Panther 콘솔에서 이 로그 소스 설정을 완료해야 합니다. Panther는 SNS 주제의 AWS 계정에 대해 Panther 로그 소스가 존재할 때만 SNS 구독을 확인합니다.
{% endhint %}
{% endtab %}
{% endtabs %}
### 2단계: S3 버킷에서 이벤트 알림 구성
SNS 주제를 생성한 후 최종 단계는 S3 버킷에서 알림을 활성화하는 것입니다.
1. AWS의 [S3 콘솔](https://s3.console.aws.amazon.com/s3/home)로 이동하여 관련 버킷을 선택하고 **속성** 탭을 클릭하세요.
2. 다음 항목을 찾으세요: **이벤트 알림** 카드를 찾으세요.
3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **이벤트 알림 생성** 그리고 다음 설정을 사용하세요:
* 일반 구성 **섹션에서:** 이벤트 이름
* **PantherEventNotifications**: `접두사`
* **(선택 사항): 키가 특정 문자로 시작하는 객체로 알림을 제한합니다** 접미사
* **(선택 사항): 키가 특정 문자로 끝나는 객체로 알림을 제한합니다** 이벤트 유형
* 일반 구성 **카드에서,** 다음 옆의 박스를 선택하세요 **참고: 버킷이 이미**.
{% hint style="info" %}
중복되는 접두사 및 접미사를 사용하는 여러 필터 생성은 [피하세요](https://help.panther.com/articles/1907385559-how-do-i-resolve-cannot-have-overlapping-suffixes-in-two-rules-if-the-prefixes-are-overlapping-for-the-same-event-type-when-setting-up-an-s3-source-for-panther). 그렇지 않으면 구성은 유효하지 않습니다.
{% endhint %}
* 일반 구성 **대상** 카드:
* 에서 **대상**SNS 주제 **을 선택하고 이전 단계에서 생성하거나 수정한 SNS 주제를 선택하세요.**.
* 다음을 위해 **을 선택하고 이전 단계에서 생성하거나 수정한 SNS 주제를 선택하세요.**CloudFormation 템플릿에서 기본 주제 이름을 사용한 경우, SNS 주제 이름은
* 입니다. `다음`.
* 사용자 지정 SNS 주제를 사용하는 경우 올바른 정책이 설정되어 있고 Panther SQS 큐에 대한 구독이 있는지 확인하세요.\
4\. 클릭하세요 **"Resource": "\"**.
* 위의 "3단계: 소스 설정 완료"로 돌아가세요.
