Blob 스토리지 소스

Panther 콘솔에서 Azure Blob Storage를 데이터 전송 로그 소스로 온보딩하기

개요

Panther는 Azure 컨테이너에서 로그 데이터를 직접 가져오기 위해 Azure Blob Storage를 데이터 전송(Data Transport)으로 구성하는 것을 지원하여 처리된 데이터에 대해 탐지 규칙을 작성하고 조사를 수행할 수 있게 합니다.

데이터는 압축된 상태(또는 압축되지 않은 상태)로 전송될 수 있습니다. 압축 사양에 대해 자세히 알아보려면 Panther에서 압축된 데이터 수집.

Panther에서 Azure Blob Storage 로그 소스를 설정하는 방법

Azure Blob Storage에서 로그를 수집하려면 먼저 Azure에서 특정 리소스 공급자가 구독에 등록되어 있는지 확인합니다. Panther에서 소스 설정을 시작한 다음 제공된 Terraform 템플릿을 사용하거나 Azure 콘솔에서 수동으로 필요한 Azure 인프라를 생성합니다.

전제 조건

Azure 구독 설정에서 다음이 Microsoft.EventGrid 및 Microsoft.Storage 이(가) 등록된 리소스 공급자인지 확인하십시오:

Azure 콘솔에서 다음으로 이동하십시오 구독(Subscriptions).
Azure 리소스를 생성할 구독을 선택하십시오.
구독 설정 내에서, 클릭하십시오 리소스 공급자(Resource providers).
의 이름으로 필터(Filter by name) 필드에서 검색하여 찾으십시오 Microsoft.EventGrid 및 Microsoft.Storage.
- 이 공급자 각각에 대해, 상태(Status) 열의 값이 다음인지 확인하십시오 등록됨(Registered).

아래 절차를 따르기 위해 이미 생성된 스토리지 계정이 있을 필요는 없습니다—다음에서 하나를 생성합니다 2단계.

1단계: Panther에서 Azure Blob Storage 구성

Panther 콘솔의 왼쪽 탐색 메뉴에서 클릭하십시오 구성(Configure) > 로그 소스(Log Sources).
오른쪽 상단에서 클릭하십시오 새로 만들기(Create New).
다음 타일을 클릭하십시오 Azure Blob Storage 타일.\
의 기본 정보(Basic Info) 페이지에서 다음을 작성하십시오:
- 이름(Name): 로그 소스에 대한 설명적인 이름을 입력하십시오.
- 로그 유형(Log Types): 이 로그 소스와 연결할 하나 이상의 로그 유형을 선택하십시오.
클릭하십시오 설정(Setup).
의 로그 형식(Log Format) 페이지에서, 다음 스트림 유형(stream type) 의 들어오는 로그를 선택하십시오:
- 자동(Auto)
- 라인(Lines)
- JSON
- JSON 배열(JSON Array)
클릭하십시오 계속(Continue).
- 다음 구성(Configuration) 페이지가 로드됩니다.

2단계: 필요한 Azure 인프라 생성

의 인프라 및 구성(Infrastructure & Configuration) 페이지에서, 필요한 Azure 인프라를 생성합니다(다음 중 하나로) Panther에서 제공한 Terraform 템플릿 사용또는 Azure 콘솔에서 리소스를 수동으로 구성)하고 Panther에 구성 값을 제공합니다.

Terraform 템플릿을 사용하여 Azure 인프라 생성

Terraform 템플릿을 사용하여 Azure 리소스를 생성한 후 Panther는 생성된 스토리지 계정의 모든 컨테이너에 기록된 모든 로그를 수집합니다. 생성된 Azure 애플리케이션이 각 컨테이너에서 읽을 수 있는 권한을 가지고 있는지 확인하십시오.

클릭하십시오 Terraform 템플릿 를 다운로드하려면 Terraform 템플릿.
- Terraform 템플릿은 다음에서도 찾을 수 있습니다 이 GitHub 링크.
Azure CLI가 아직 설치되어 있지 않다면, 다음을 따라서 설치하십시오 Azure CLI 설치 방법 문서.
터미널에서 다음을 실행하십시오 az login.
Terraform 템플릿을 새 디렉터리로 이동하고 해당 디렉터리로 이동하십시오.
다음 파일을 편집하여 배포를 사용자화하십시오: panther.tfvars 예: 인프라가 생성될 지역을 변경하거나 사용자 지정 스토리지 계정 이름을 제공하는 등의 설정을 합니다.
다음 Terraform 명령을 실행하여 Azure 리소스를 생성하십시오:
1. terraform init
2. terraform apply -var-file="panther.tfvars"
Terraform이 리소스 생성을 완료한 후 출력된 값을 Panther 콘솔의 다음 필드에 복사하십시오: Azure 구성 제공(Provide Azure configuration) 섹션:
- 테넌트 ID(Tenant ID)
- 클라이언트 ID(Client ID)
- 스토리지 계정 이름(Storage Account Name)
- 스토리지 큐 이름(Storage Queue Name)
- 클라이언트 시크릿(Client Secret)
  - 클라이언트 시크릿 값은 터미널에서 가려집니다. 보려면 다음을 실행하십시오 terraform output secret를 실행하고 따옴표 없이 값을 복사하십시오.
    macOS를 사용 중인 경우, 다음을 실행하십시오 terraform output -raw secret | pbcopy 값을 출력하지 않고 클립보드로 복사합니다.
소스 설정의 이 섹션은 "2. Azure 구성 제공"을 표시하며 테넌트 ID, 클라이언트 ID, 스토리지 계정 이름, 스토리지 큐 이름 및 클라이언트 시크릿에 대한 폼 필드가 있습니다.
Azure Blob 스토리지가 Azure 정부 클라우드(Azure Government Cloud)에 있는지 또는 공용 클라우드(Public Cloud)에 있는지 선택하십시오.
클릭하십시오 설정(Setup), 그런 다음 계속하여 3단계: Panther에서 설정 확인.

Azure 콘솔에서 인프라를 수동으로 생성

1단계: 리소스 그룹 및 스토리지 계정 생성

Azure 콘솔에서 다음으로 이동하십시오 구독(Subscriptions).
Azure 리소스를 생성할 구독을 선택하십시오.
클릭하십시오 리소스 그룹(Resource groups).
1. 클릭하십시오 +생성(+Create).
2. 다음 값들을 제공하십시오 이름(Name) 및 지역(Region).
  - 나중에 이 프로세스에서 필요하므로 제공한 이름(Name)값을 기록하거나 기억해 두십시오.
3. 클릭하십시오 검토 후 생성(Review and create).
4. 클릭하십시오 생성(Create).
새로 생성된 리소스 그룹의 이름을 클릭하십시오.
클릭하십시오 생성(Create).
검색 창에 "스토리지 계정(storage account)"을 입력하고 반환된 스토리지 계정(Storage account) 타일에서 클릭하십시오 생성(Create).
의 스토리지 계정 생성(Create a storage account) 페이지의 인스턴스 세부 정보(Instance details) 섹션에서 다음 값을 입력하십시오 스토리지 계정 이름(Storage account name) 및 지역(Region).
1. 클릭하십시오 검토(Review) .
2. 클릭하십시오 생성(Create).

2단계: 앱 등록 및 클라이언트 시크릿 추가

상단 검색창에서 "Microsoft Entra ID"를 검색하고 클릭하십시오 Microsoft Entra ID.
클릭하십시오 +추가(+Add)를 클릭하면 표시되는 드롭다운 메뉴에서, 앱 등록(App registration).
1. 다음을 입력하십시오 이름(Name).
2. 클릭하십시오 등록(Register).
3. 다음 값을 안전하게 복사하여 저장하십시오: 애플리케이션(클라이언트) ID(Application (client) ID) 값은 이 프로세스에서 나중에 필요합니다.
새로 등록한 앱을 클릭하십시오.
오른쪽에서 클릭하십시오 인증서 또는 시크릿 추가(Add a certificate or secret).
클릭하십시오 +새 클라이언트 시크릿(+New client secret).
1. 다음을 제공합니다 설명(Description).
2. 클릭하십시오 추가(Add).
3. 다음 값을 안전하게 복사하여 저장하십시오: 클라이언트 시크릿(Client Secret) 값값을 기록하거나 기억해 두십시오.

3단계: 큐 생성 및 권한 추가

새로 생성한 스토리지 계정으로 이동하십시오.
왼쪽 탐색 메뉴에서 선택하십시오 큐(Queues).
1. 클릭하십시오 +큐(+Queue) 을 클릭하여 새 큐를 생성하십시오.
2. 다음을 입력하십시오 이름(Name) 큐에 대한
  - 나중에 이 프로세스에서 필요하므로 제공한 이름(Name)값을 기록하거나 기억해 두십시오.
3. 클릭하십시오 확인(Ok).
새로 생성된 큐를 클릭한 다음 왼쪽 탐색 메뉴에서 클릭하십시오 액세스 제어(IAM)(Access Control (IAM)).
1. 클릭하십시오 +추가(+Add), 그런 다음 역할 할당 추가(Add Role Assignment).
2. "Storage Queue Data Message Processor"를 검색하고 나타나는 일치하는 역할을 선택하십시오.
3. 클릭하십시오 구성원(Members) 탭.
4. 클릭하십시오 +구성원 선택(+Select Members).
5. 에서 생성한 등록된 앱의 이름을 검색하십시오 2단계, 그리고 클릭하십시오 선택(Select).
6. 클릭하십시오 검토+할당(Review+Assign).

4단계: 시스템 주제 및 이벤트 구독 생성

상단 검색창에서 "Event Grid System Topics"를 검색하고 나타나는 일치하는 페이지를 클릭하십시오.
1. 클릭하십시오 +생성(+Create).
2. 의 이벤트 그리드 시스템 주제 생성(Create Event Grid System Topic) 페이지에서 다음 필드를 작성하십시오:
  - 주제 유형(Topic Types): 다음을 선택하십시오 스토리지 계정(Storage Accounts) (Blob 및 GPv2).
  - 구독(Subscription): 1단계에서 리소스 그룹을 생성한 구독을 선택하십시오. 1단계.
  - 리소스 그룹(Resource Group): 1단계에서 생성한 리소스 그룹을 선택하십시오. 1단계.
  - 리소스(Resource): 1단계에서 생성한 스토리지 계정을 선택하십시오. 1단계.
  - 이름(Name): 설명적인 주제 이름을 입력하십시오.
3. 클릭하십시오 검토+생성(Review+create).
4. 클릭하십시오 생성(Create).
스토리지 계정으로 다시 이동하십시오.
왼쪽 탐색 메뉴에서 클릭하십시오 이벤트(Events) 그런 다음 +이벤트 구독(+Event Subscription).
의 이벤트 구독 생성(Create Event Subscription) 페이지에서 다음 필드에 값을 제공하십시오:
1. 의 이벤트 구독 세부 정보(Event Subscription Details) 섹션에서, 다음을 입력하십시오 이름(Name).
2. 의 이벤트 유형(Event Types) 섹션에서, 이벤트 유형으로 필터(Filter to Event Types) 필드에서 선택하십시오 Blob 생성(Blob Created).
3. 의 엔드포인트 세부 정보(Endpoint Details) 섹션에서 다음 선택을 수행하십시오:
  - 엔드포인트 유형(Endpoint Type): 다음을 선택하십시오 스토리지 큐(Storage Queue).
  - 엔드포인트(Endpoint): 3단계에서 생성한 큐를 선택하십시오. 3단계.
  Azure 콘솔의 이벤트 구독 생성(Create Event Subscription) 페이지에서 다양한 필드가 원으로 표시되어 있습니다: 이름(Name), 이벤트 유형으로 필터(Filter to Event Types), 엔드포인트 유형(Endpoint Type) 및 엔드포인트(Endpoint).
4. 클릭하십시오 생성(Create).

단계 5: 컨테이너 생성 및 권한 추가

이미 컨테이너가 생성되어 있는 경우, 아래에서 생성한 애플리케이션에 읽기 권한만 부여하면 됩니다 2단계. 아래 지침 세트에서는 단계 3부터 시작하세요.

생성한 스토리지 계정의 모든 컨테이너에 기록된 모든 로그가 수집되므로 이 컨테이너에 대한 정보를 Panther에 제공할 필요가 없습니다.

새로 생성한 스토리지 계정으로 이동하십시오.
왼쪽 탐색 메뉴에서 선택하십시오 컨테이너.
1. 클릭하십시오 +컨테이너 새 컨테이너를 생성하려면.
2. 다음을 입력하십시오 이름(Name) 컨테이너에 대한.
  - 나중에 이 프로세스에서 필요하므로 제공한 이름(Name)값을 기록하거나 기억해 두십시오.
3. 클릭하십시오 생성(Create).
방금 생성한 컨테이너를 클릭한 다음 왼쪽 탐색 표시줄에서 클릭하세요 액세스 제어(IAM)(Access Control (IAM)).
1. 클릭하십시오 +추가(+Add).
2. 클릭하십시오 역할 할당 추가(Add Role Assignment).
3. "Storage Blob Data Reader"를 검색하고 표시되는 일치하는 역할을 선택하세요.
4. 클릭하십시오 구성원(Members) 탭.
5. 클릭하십시오 +구성원 선택(+Select Members).
6. 에 생성한 등록된 앱의 이름을 검색하세요 2단계, 그리고 클릭하십시오 선택(Select).
7. 클릭하십시오 검토+할당(Review+Assign).

단계 6: Azure 구성 값을 Panther 콘솔로 복사

로 돌아가세요 인프라 및 구성(Infrastructure & Configuration) Panther 콘솔의 페이지.
의 Azure 구성 제공(Provide Azure configuration) 섹션에서 다음 필드에 대한 값을 복사하세요:
- 테넌트 ID(Tenant ID): 이 값은 Azure 콘솔의에서 찾을 수 있습니다 Microsoft Entra ID 홈 페이지.
- 클라이언트 ID(Client ID): 에서 생성된 애플리케이션(클라이언트) ID 2단계.
- 스토리지 계정 이름(Storage Account Name): 에서 지정한 스토리지 계정 이름 1단계.
- 스토리지 큐 이름(Storage Queue Name): 에서 지정한 큐 이름 3단계.
- 클라이언트 시크릿(Client Secret): 에서 생성된 클라이언트 비밀 값 2단계.
Azure Blob 스토리지가 Azure 정부 클라우드(Azure Government Cloud)에 있는지 또는 공용 클라우드(Public Cloud)에 있는지 선택하십시오.
클릭하십시오 설정(Setup), 그런 다음 계속하여 3단계: Panther에서 설정 확인.

3단계: Panther에서 설정 확인

성공 화면으로 안내됩니다:

The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"

선택적으로 하나 이상의 를 활성화할 수 있습니다 탐지 팩.
아직 수행하지 않았다면 클릭하세요 스키마 연결 또는 유추 원본에 하나 이상의 스키마를 연결하려면.
다음 이벤트가 처리되지 않을 때 경보 트리거 설정 기본값을 예. 데이터가 특정 기간 이후에 로그 소스에서 흐르지 않으면 경고가 발생하므로 이 설정을 활성화된 상태로 두는 것이 좋습니다. 기간은 기본값 24시간으로 구성할 수 있습니다.\

수집된 로그 보기

로그 소스가 구성된 후에는 다음을 사용하여 수집된 데이터를 검색할 수 있습니다 검색 또는 데이터 탐색기.

PreviousAzure 소스 NextEvent Hub 소스(베타)

Last updated 10 days ago

Was this helpful?

hashtag개요

hashtagPanther에서 Azure Blob Storage 로그 소스를 설정하는 방법

hashtag전제 조건

hashtag1단계: Panther에서 Azure Blob Storage 구성

hashtag2단계: 필요한 Azure 인프라 생성

hashtag3단계: Panther에서 설정 확인

hashtag수집된 로그 보기

개요