search
Knowledge BaseRelease NotesRequest Demo

Blob Storage 소스

Panther 콘솔에서 Azure Blob Storage를 데이터 전송 로그 소스로 온보딩하기

hashtag
개요

Panther는 Azure Blob Storage를 Data Transport로 구성하여 Azure 컨테이너에서 로그 데이터를 직접 가져올 수 있도록 지원하며, 이를 통해 이 처리된 데이터에 대해 디택션을 작성하고 조사를 수행할 수 있습니다.

데이터는 압축된 상태로(또는 비압축 상태로) 전송할 수 있습니다. 압축 사양에 대해 자세히 알아보려면 다음을 참조하세요 Panther에서 압축된 데이터 수집.

hashtag
Panther에서 Azure Blob Storage 로그 소스를 설정하는 방법

Azure Blob Storage에서 로그를 수집하려면 먼저 Azure에서 특정 리소스 공급자가 구독에 등록되어 있는지 확인해야 합니다. Panther에서 소스 설정을 시작한 다음, 제공된 Terraform 템플릿을 사용하거나 Azure Console에서 수동으로 필요한 Azure 인프라를 생성합니다.

hashtag
사전 요구 사항

Azure 구독 설정 내에서 다음을 확인하세요. Microsoft.EventGridMicrosoft.Storage 가 등록된 리소스 공급자입니다:

  1. Azure Console에서 다음으로 이동하세요. 구독.

  2. Azure 리소스를 생성할 구독을 선택하세요.

  3. 구독 설정에서 다음을 클릭하세요. 리소스 공급자. In the Azure Console, the page of a Subscription called Azure subscription 1 is shown. There is a list of Resource providers, e.g., Microsoft.RecoveryServices and Microsoft.DBforMySQL. On the right is a column called Status.

  4. 다음에서 이름으로 필터링 필드에서 다음을 검색하여 찾으세요. Microsoft.EventGridMicrosoft.Storage.

    • 각 공급자에 대해 다음을 확인하세요. 상태 열의 값이 등록됨.

circle-info

아래 절차를 따르기 위해 이미 생성된 스토리지 계정이 없어도 됩니다. 다음에서 하나를 생성하게 됩니다. 2단계.

hashtag
1단계: Panther에서 Azure Blob Storage 구성

  1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요. 구성 > 로그 소스.

  2. 오른쪽 상단에서 다음을 클릭하세요. 새로 만들기.

  3. 다음을 클릭하세요. Azure Blob Storage 타일을 클릭하세요.

  4. 다음 기본 정보 페이지에서 다음을 입력하세요.

    • 이름: 로그 소스에 대한 설명이 포함된 이름을 입력하세요.

    • 로그 유형: 이 로그 소스와 연결할 하나 이상의 로그 유형을 선택하세요.

  5. 다음을 클릭하세요. 설정.

  6. 다음 로그 형식 페이지에서 다음의 스트림 유형 을 들어오는 로그에 대해 선택하세요:

    • 자동

    • JSON

    • JSON 배열

  7. 다음을 클릭하세요. 계속.

    • 다음 구성 페이지가 로드됩니다.

hashtag
2단계: 필요한 Azure 인프라 생성

다음 인프라 및 구성 페이지에서 필요한 Azure 인프라를 생성하고(다음을 통해 Panther가 제공한 Terraform 템플릿 사용, 또는 Azure Console에서 리소스를 수동으로 구성) 구성 값을 Panther에 제공합니다.

Terraform 템플릿을 사용하여 Azure 인프라 생성

circle-info

Terraform 템플릿을 사용해 Azure 리소스를 생성한 후, Panther는 생성한 스토리지 계정의 모든 컨테이너에 기록된 모든 로그를 수집합니다. 생성된 Azure 애플리케이션에 각 컨테이너에서 읽을 수 있는 권한이 있는지 확인하세요.

  1. 다음을 클릭하세요. Terraform 템플릿 를 다운로드하려면 Terraformarrow-up-right 템플릿을 선택하세요.

  2. Azure CLI가 아직 설치되어 있지 않다면 다음을 따라 설치하세요. Azure CLI 설치 방법에 대한 Azure 문서arrow-up-right.

  3. 터미널에서 다음을 실행하세요. az login.

  4. Terraform 템플릿을 새 디렉터리로 이동한 다음 해당 디렉터리로 이동하세요.

  5. 다음을 편집하세요. panther.tfvars 파일을 수정하여 배포를 사용자 지정하세요. 예를 들어 인프라가 생성될 지역을 변경하고 사용자 지정 스토리지 계정 이름을 제공할 수 있습니다.

  6. 다음 Terraform 명령을 실행하여 Azure 리소스를 생성하세요:

    1. terraform init

    2. terraform apply -var-file="panther.tfvars"

  7. Terraform이 리소스 생성을 완료한 후, 출력된 값을 Panther Console의 다음 필드에 복사하세요. Azure 구성 제공 섹션:

    • 테넌트 ID

    • 클라이언트 ID

    • 스토리지 계정 이름

    • 스토리지 큐 이름

    • 클라이언트 시크릿

      • 클라이언트 시크릿 값은 터미널에서 마스킹됩니다. 확인하려면 다음을 실행하세요. terraform output secret를 실행하고, 따옴표 없이 값을 복사하세요.

        • macOS를 사용하는 경우 다음을 실행하세요. terraform output -raw secret | pbcopy 를 실행하여 값을 출력하지 않고 복사하세요.

    소스 설정의 이 섹션에는 "2. Azure 구성 제공"이 표시되며, 테넌트 ID, 클라이언트 ID, 스토리지 계정 이름, 스토리지 큐 이름, 클라이언트 시크릿에 대한 입력 필드가 있습니다.

  8. Azure Blob storage가 Azure Government Cloud 또는 Public Cloud에 있는지 선택하세요.

  9. 다음을 클릭하세요. 설정, 그런 다음 계속해서 3단계: Panther에서 설정 확인.

hashtag
3단계: Panther에서 설정 확인

성공 화면으로 이동합니다:

The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"

  • 선택적으로 하나 이상의 디텍션 팩arrow-up-right.

  • 아직 하지 않았다면 다음을 클릭하세요. 스키마 연결 또는 추론 하여 하나 이상의 스키마를 소스에 연결하세요.

  • 다음 이벤트가 처리되지 않을 때 알러트 트리거 설정은 기본값이 입니다. 일정 시간이 지나 로그 소스에서 데이터 흐름이 중단되면 알러트를 받게 되므로 이 설정을 켜둔 채로 두는 것을 권장합니다. 기간은 구성 가능하며 기본값은 24시간입니다.

    The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day

hashtag
로그 소스에 새 로그 추가

로그 소스에 추가적인 Azure 로그 유형을 추가하려면 다음에 설명된 단계를 따를 수 있습니다. Azure Monitor Logs 문서arrow-up-right.

hashtag
수집된 로그 보기

로그 소스가 구성되면 다음을 사용하여 수집된 데이터를 검색할 수 있습니다. 검색 또는 Data Explorer.

이전Azure 소스다음Event Hub 소스

마지막 업데이트

도움이 되었나요?