S3 소스
Panther 콘솔에서 AWS S3를 데이터 전송 로그 소스로 온보딩하기
개요
Panther는 Amazon S3 버킷을 데이터 전송(Data Transport)으로 구성하여 S3 버킷에서 보안 로그를 가져올 수 있도록 지원합니다. 먼저 Panther 콘솔에서 S3 소스를 설정한 다음 S3 버킷이 새 데이터를 수신할 때 알림을 전송하도록 버킷을 구성합니다.
데이터는 압축된 상태(또는 비압축)로 전송될 수 있습니다. 압축 사양에 대해 자세히 알아보려면 Panther에서 압축된 데이터 수집.
만약 귀하가 Cloud Connected 고객의 경우 Panther 배포가 위치한 계정과 별도의 AWS 계정에서 모든 로그 소스 인프라를 생성하십시오.
아래 다이어그램을 참조하여 S3를 사용하여 애플리케이션에서 Panther로 데이터가 어떻게 흐르는지 이해하십시오 (in SaaS):
Panther에서 AWS S3 버킷 로그 소스를 설정하는 방법
아래 지침은 Panther 콘솔에서 S3 통합을 수동으로 설정하는 방법을 설명합니다. 또한 S3 로그 소스를 관리하는 것도 가능합니다 Panther API를 사용하여, 또는 Terraform 사용.
Panther에서 S3 로그 소스를 설정하려면 아래 단계를 따르십시오. 또한 데이터 수집 비디오 개요 에서 S3 소스 설정에 대한 빠른 안내를 볼 수 있습니다.
전제 조건
S3 버킷이 있습니다. 버킷을 생성해야 하는 경우 다음을 따르십시오 Amazon의 버킷 생성 문서.
1단계: Panther에서 S3 버킷 소스 구성
Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.
오른쪽 상단 모서리에서 클릭 새로 만들기.
을 클릭하세요 AWS S3 버킷 타일을 클릭합니다.
페이지에서 구성 페이지에서 다음 필드에 대한 값을 입력하십시오:
이름: S3 소스에 대한 설명 이름을 입력하십시오.
AWS 계정 ID: S3 버킷이 위치한 12자리 AWS 계정 ID를 입력하십시오.
버킷 이름: 온보딩할 S3 버킷의 ID 또는 이름을 입력하십시오.
KMS 키 ARN(선택 사항): 데이터가 KMS-SSE로 암호화된 경우 KMS 키의 ARN을 제공하십시오.
이 소스에 스키마를 연결하거나 포함 또는 제외 버킷 접두사를 구성하려면 클릭하십시오 접두사 및 스키마 구성(선택 사항). 소스가 설정된 후에도 이러한 작업을 수행할 수 있습니다.
일반 구성 S3 접두사 및 스키마 팝업 모달에서 S3의 데이터 저장 구조에 따라 S3 접두사, 스키마 및 제외 필터의 조합을 생성하십시오.
버킷의 모든 데이터에 하나 이상의 스키마를 연결하려면 S3 접두사 필드를 비워 두십시오. 이렇게 하면 와일드카드(*) 접두사가 생성됩니다.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 변경 사항 적용.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정.
Panther에서 S3 로그 소스를 생성한 후 S3 버킷에 KMS 키를 추가한 경우, KMS 키와 함께 Panther에서 로그 소스를 다시 생성해야 합니다. 기존 소스를 편집하여 KMS 키를 추가해도 동작하지 않습니다.
2단계: IAM 역할 설정
소스에서 객체를 읽으려면 Panther는 특정 권한을 가진 AWS IAM 역할이 필요합니다. 이 역할을 설정하려면 다음 옵션 중 하나를 선택할 수 있습니다:
AWS 콘솔 UI 사용
이는 Panther에서 설정하는 첫 번째 데이터 전송 소스인 경우 이 옵션을 선택하세요.
CloudFormation 또는 Terraform 파일
모든 것을 직접 설정하고 싶습니다
AWS 콘솔 UI 사용
AWS 콘솔을 사용하여 CloudFormation 스택을 시작하세요:
페이지에서 IAM 역할 생성 페이지에서, AWS 콘솔 UI 사용 타일에서 계속.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 을 클릭하세요.
템플릿 URL이 미리 채워진 새 브라우저 탭의 AWS 콘솔로 리디렉션됩니다.
CloudFormation 스택은 소스에서 객체를 읽기 위한 최소 권한을 가진 AWS IAM 역할을 생성합니다.
을 클릭하세요 출력 AWS에서 CloudFormation 스택의 탭을 확인하고 Role ARN을 기록하십시오.
Panther 콘솔로 돌아가서 필드에 값을 입력하세요:
역할 ARN: 출력된 IAM 역할 ARN을 입력하세요.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정.
CloudFormation 또는 Terraform 파일
Panther에서 제공하는 CloudFormation 또는 Terraform 템플릿을 사용하여 IAM 역할을 생성하세요:
페이지에서 IAM 역할 생성 페이지에서, CloudFormation 또는 Terraform 파일 타일에서 계속.
페이지에서 CloudFormation 또는 Terraform 템플릿 파일 페이지에서, 사용하려는 인프라스트럭처 코드(IaC) 공급자에 따라 CloudFormation 템플릿 이전에 생성한 Snowflake 사용자 이름, 예를 들면 Terraform 템플릿.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 템플릿 다운로드.
Terraform 템플릿은 또한 이 GitHub 링크.
에서 찾을 수 있습니다. CLI에서 워크플로우 섹션의 명령을 실행하세요.
IaC 파이프라인에 템플릿을 배포한 후 필드에 값을 입력하세요:
역할 ARN: 출력된 IAM 역할 ARN을 입력하세요.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정.
모든 것을 직접 설정하고 싶습니다
IAM 역할을 수동으로 생성한 다음 Panther에 역할 ARN을 입력하세요. IAM 역할을 수동으로 설정할 때는 S3 버킷이 새 데이터가 도착할 때 알림을 보내도록 구성하기 위해 아래의 "수동 IAM 역할 생성: 추가 단계" 지침도 따라야 합니다.
페이지에서 IAM 역할 생성 페이지에서 모든 것을 직접 설정하고 싶습니다.
자체적으로 또는 자동화로 IAM 역할을 생성하세요.
역할에 연결될 IAM 정책에는 아래에 정의된 문(statement)을 포함해야 합니다:
S3 버킷이 AWS KMS를 사용한 서버 측 암호화로 구성된 경우, Panther API에 해당 KMS 키에 대한 접근을 허용하는 추가 문을 포함해야 합니다. 이 경우 정책은 대략 다음과 같이 보입니다:
위 외에도 Panther 콘솔에서 S3 버킷의 내용을 보려면(예: 과거 데이터로부터 사용자 지정 스키마 추론 기능을 활용하기 위해)
s3:ListBucket작업을 추가해야 합니다:
역할에 다음의 신뢰 정책(AssumeRolePolicyDocument)을 추가하여 Panther가 이 역할을 맡을 수 있도록 하세요:
AssumeRolePolicyDocument문(statement):다음 값을 채우세요
<AWS-PARTITION>Panther 백엔드를 실행하는 계정의 파티션으로 (예:aws) 채우세요. 참고로 우리는aws-cn이전에 생성한 Snowflake 사용자 이름, 예를 들면aws-us-gov.다음 값을 채우세요
에 배포하지 않습니다.<PANTHER-MASTER-ACCOUNT-ID>
Panther가 배포된 12자리 계정 ID로 채우세요. AWS 계정 ID를 얻으려면: Panther 콘솔 오른쪽 상단의 톱니바퀴 아이콘을 클릭하여 설정으로 이동하면 페이지 하단에 AWS 계정 ID가 표시됩니다.
역할 ARN: 출력된 IAM 역할 ARN을 입력하세요.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. Panther 콘솔에서 필드에 값을 입력하세요:
아래의 데이터 탐색기 섹션으로 진행하십시오.
다음으로 아래의 "수동 IAM 역할 생성: 추가 단계" 섹션으로 진행하세요.
3단계: 소스 설정 완료
권한 오류가 감지되면 표시되며 IAM 역할 구성을 다시 시도하라는 메시지가 표시됩니다.
성공 화면으로 이동됩니다: 선택적으로 하나 이상의.
사용자를 사용할 것이며, 가 활성화될 수 있습니다 "이벤트가 처리되지 않을 때 알러트를 트리거" 설정의 기본값은예
아직 수행하지 않았다면 소스에 하나 이상의 스키마를 연결하십시오.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 아직 하지 않았다면, 클릭하세요.
Panther에서 관리하는 스키마를 연결하거나 이 지침을 따라 이전 S3 데이터에서 사용자 정의 스키마를 유추하십시오.
을 클릭하여 소스에 하나 이상의 스키마를 첨부하세요.
수집된 로그 보기 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 이전에 생성한 Snowflake 사용자 이름, 예를 들면 panther_monitor.
권장 S3 버킷 만료 정책
S3 버킷에 추가된 데이터를 만료하기 전에 최소 7일 동안 보관하는 것이 권장됩니다. 일반적인 상황에서는 Panther가 S3 버킷에 새 객체가 추가된 지 몇 분 내에 처리하지만, Panther 수집 서비스에 가용성 문제가 있는 경우 새 객체가 처리되는 데 더 오래 걸릴 수 있습니다.
데이터 탐색기
수동 IAM 역할 생성: 추가 단계
로그 소스 생성 시 IAM 역할을 수동으로 설정하기로 선택한 경우, 새 데이터가 도착할 때 S3 버킷이 알림을 보내도록 구성하기 위해 아래 지침도 따라야 합니다.
SNS 주제 생성
SNS 주제를 생성하는 방법 참고: 버킷이 이미 모든 객체 생성 이벤트
를 SNS 주제로 전송하도록 구성되어 있다면, 대신 "기존 SNS 주제 수정" 탭을 따라 이 주제를 Panther의 입력 데이터 큐에 구독시키세요.
AWS 계정당 하나의 SNS 주제만 필요하므로 동일한 AWS 계정 내의 여러 S3 버킷이 동일한 SNS 주제를 사용할 수 있습니다. 동일한 AWS 계정의 다른 S3 버켓에 대해 이미 SNS 주제를 생성했다면 이 단계를 건너뛸 수 있습니다.
먼저 Panther에 새 데이터가 처리 준비되었음을 알리기 위해 SNS 주제와 SNS 구독을 생성해야 합니다.
S3 버킷을 소유한 계정의 AWS 콘솔에 로그인하세요. S3 버킷이 위치한 AWS 리전을 선택하고 다음으로 이동하세요 CloudFormation
콘솔로. 스택(Stacks) 섹션으로 이동하세요. "스택 생성(Create Stack)"을 선택하세요 (새 리소스 포함). "템플릿 지정" 섹션에서 다음 Amazon S3 URL을 입력하세요:
https://panther-public-cloudformation-templates.s3-us-west-2.amazonaws.com/panther-log-processing-notifications/latest/template.yml
스택 이름
: 원하는 이름, 예:panther-log-processing-notifications-<bucket-label>
MasterAccountId: Panther가 배포된 12자리 AWS 계정 IDPantherRegion
: Panther가 배포된 리전SnsTopicName
: 알림을 받을 SNS 주제의 이름. 기본값은panther-notifications-topic
다음
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 다음, 다음프로세스를 완료하세요. (새 리소스 포함). 이 스택에는 하나의 출력이 있습니다:
SnsTopicArn
기존 SNS 주제 수정.
기존 SNS 주제를 S3 버킷 알림 전송에 사용하려는 경우 아래 단계를 따르세요. SNS 주제는 S3 버킷과 동일한 리전에 있어야 합니다.
1단계: SNS 주제에 대해 KMS 암호화 활성화
AWS 콘솔에 로그인하여 KMS로 이동하세요.
암호화에 사용할 KMS 키를 선택하세요.
정책을 편집하여 SNS 주제 및 S3 버킷 알림에 사용될 수 있도록
적절한 권한 이 포함되었는지 확인하세요. 예시 정책:
"Sid": "Allow access for Key User (SNS Service Principal)",
을 클릭하세요 암호화 탭에서,
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 활성화하고 암호화에 사용할 KMS 키를 지정하세요.
2단계: SNS 주제 접근 정책 수정
SNS 주제와 Panther의 로그 처리 SQS 큐 간의 구독을 생성하세요.
콘솔로. SNS 콘솔로 이동 하여 현재 이벤트를 수신하는 SNS 주제를 선택하세요.
이 SNS 주제의 ARN을 메모하세요.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 편집을 클릭 하고 아래로 스크롤하여 접근 정책 카드를 찾으세요.
주제의 정책에 다음 문장을 추가하세요: 접근 정책:
다음 값을 채우세요
에 배포하지 않습니다.Panther가 배포된 12자리 계정 ID로 대체하세요. 이 AWS 계정 ID는 Panther 콘솔에서 설정(Settings)으로 이동한 후 페이지 하단에서 확인할 수 있습니다. 설정 으로 이동하려면 톱니 아이콘을 클릭하세요..다음 값을 채우세요
SNS-TOPIC-ARN앞서 문서에서 메모한 ARN으로 설정하세요.
3단계: SNS 구독을 SQS에 생성
Panther 마스터 계정의 SQS 큐에 대한 구독을 생성하세요.
SNS 콘솔에서, 구독(Subscriptions).
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 구독 생성.
양식을 작성하세요:
주제 ARN: 사용하려는 SNS 주제를 선택하세요.
프로토콜: Amazon SQS.
엔드포인트:
arn:aws:sqs:<PantherRegion>:<MasterAccountId>:panther-input-data-notifications-queue원시 메시지 전달 활성화: 이 박스를 체크하지 마세요. 원시 메시지 전달은 비활성화되어야 합니다.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 구독 생성.
구독이 "보류 중(Pending)" 상태이고 즉시 확인되지 않는 경우, Panther 콘솔에서 이 로그 소스 설정을 완료해야 합니다. Panther는 SNS 주제의 AWS 계정에 대해 Panther 로그 소스가 존재할 때만 SNS 구독을 확인합니다.
2단계: S3 버킷에서 이벤트 알림 구성
SNS 주제를 생성한 후 최종 단계는 S3 버킷에서 알림을 활성화하는 것입니다.
AWS의 S3 콘솔로 이동하여 관련 버킷을 선택하고 속성 탭을 클릭하세요.
다음 항목을 찾으세요: 이벤트 알림 카드를 찾으세요.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 이벤트 알림 생성 그리고 다음 설정을 사용하세요:
일반 구성 섹션에서: 이벤트 이름
PantherEventNotifications:
접두사(선택 사항): 키가 특정 문자로 시작하는 객체로 알림을 제한합니다 접미사
(선택 사항): 키가 특정 문자로 끝나는 객체로 알림을 제한합니다 이벤트 유형
일반 구성 카드에서, 다음 옆의 박스를 선택하세요 참고: 버킷이 이미.
중복되는 접두사 및 접미사를 사용하는 여러 필터 생성은 피하세요. 그렇지 않으면 구성은 유효하지 않습니다.
일반 구성 대상 카드:
에서 대상SNS 주제 을 선택하고 이전 단계에서 생성하거나 수정한 SNS 주제를 선택하세요..
다음을 위해 을 선택하고 이전 단계에서 생성하거나 수정한 SNS 주제를 선택하세요.CloudFormation 템플릿에서 기본 주제 이름을 사용한 경우, SNS 주제 이름은
입니다.
다음.사용자 지정 SNS 주제를 사용하는 경우 올바른 정책이 설정되어 있고 Panther SQS 큐에 대한 구독이 있는지 확인하세요.
4. 클릭하세요 "Resource": "<secret ARN>".
위의 "3단계: 소스 설정 완료"로 돌아가세요.
마지막 업데이트
도움이 되었나요?