search
Knowledge BaseRelease NotesRequest Demo

Blob Storage 소스

Panther 콘솔에서 Azure Blob Storage를 데이터 전송 로그 소스로 온보딩하기

hashtag
개요

Panther는 Azure 컨테이너에서 로그 데이터를 직접 가져오기 위해 Azure Blob Storage를 데이터 전송(Data Transport)으로 구성할 수 있도록 지원하며, 이렇게 처리된 데이터에 대해 디텍션을 작성하고 조사를 수행할 수 있습니다.

데이터는 압축(또는 비압축)되어 전송될 수 있습니다. 압축 사양에 대한 자세한 내용은 Panther에서 압축된 데이터 수집하기.

hashtag
Panther에서 Azure Blob Storage 로그 소스를 설정하는 방법

Azure Blob Storage에서 로그를 수집하려면 먼저 Azure에서 특정 리소스 공급자가 구독에 대해 등록되어 있는지 확인해야 합니다. Panther에서 소스 설정을 시작한 다음 제공된 Terraform 템플릿을 사용하거나 Azure 콘솔에서 수동으로 필요한 Azure 인프라를 생성합니다.

hashtag
전제 조건

Azure 구독 설정 내에서 다음이 Microsoft.EventGridMicrosoft.Storage 등록된 리소스 공급자인지 확인하세요:

  1. Azure 콘솔에서 다음으로 이동합니다 구독(Subscriptions).

  2. Azure 리소스를 생성할 구독을 선택하세요.

  3. 구독 설정 내에서 리소스 공급자. In the Azure Console, the page of a Subscription called Azure subscription 1 is shown. There is a list of Resource providers, e.g., Microsoft.RecoveryServices and Microsoft.DBforMySQL. On the right is a column called Status.

  4. 일반 구성 이름으로 필터링 필드에서 검색하여 다음을 찾으세요 Microsoft.EventGridMicrosoft.Storage.

    • 이 공급자들 각각에 대해, 상태 열의 값이 등록됨.

circle-info

아래 절차를 따르기 위해 이미 생성된 스토리지 계정이 있을 필요는 없습니다— 2단계.

hashtag
1단계: Panther에서 Azure Blob Storage 구성

  1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

  2. 오른쪽 상단에서 클릭하세요 새로 만들기.

  3. 을 클릭하세요 Azure Blob Storage 타일을 클릭합니다.

  4. 페이지에서 기본 정보 페이지에서 다음을 입력하세요:

    • 이름: 로그 소스에 대한 설명 이름을 입력하세요.

    • 로그 유형: 이 로그 소스와 연관할 하나 이상의 로그 유형을 선택하세요.

  5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정.

  6. 페이지에서 로그 형식 페이지에서 들어오는 로그의 스트림 유형 형식을 선택하세요:

    • 자동

    • 라인

    • JSON

    • JSON 배열

  7. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 계속.

    • 사용자를 사용할 것이며, 구성 페이지가 로드됩니다.

hashtag
2단계: 필요한 Azure 인프라 생성

페이지에서 인프라 및 구성 페이지에서 필요한 Azure 인프라를 생성합니다(다음 중 하나로 Panther에서 제공한 Terraform 템플릿 사용, 또는 Azure 콘솔에서 리소스를 수동 구성)하고 Panther에 구성 값을 제공합니다.

Terraform 템플릿을 사용하여 Azure 인프라 생성

circle-info

Terraform 템플릿을 사용하여 Azure 리소스를 생성한 후 Panther는 생성한 스토리지 계정의 모든 컨테이너에 기록된 모든 로그를 수집합니다. 생성된 Azure 애플리케이션이 각 컨테이너에서 읽을 수 있는 권한을 가지고 있는지 확인하세요.

  1. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. Terraform 템플릿 템플릿을 다운로드하려면 Terraformarrow-up-right 템플릿.

  2. Azure CLI가 아직 설치되어 있지 않은 경우, 다음을 따라 설치하세요 Azure의 Azure CLI 설치 방법 문서arrow-up-right.

  3. 터미널에서 다음을 실행하세요 az login.

  4. Terraform 템플릿을 새 디렉터리로 이동하고 해당 디렉터리로 이동하세요.

  5. 파일을 편집하여 배포를 사용자화하세요(예: 인프라를 생성할 지역을 변경하거나 사용자 지정 스토리지 계정 이름을 제공). 파일의 필드를 구성으로 채우세요. 파일을 편집하여 배포를 사용자화하세요. 예: 인프라가 생성될 지역을 변경하거나 사용자 지정 스토리지 계정 이름을 제공.

  6. 다음 Terraform 명령을 실행하여 Azure 리소스를 생성하세요:

    1. terraform init

    2. terraform apply -var-file="panther.tfvars"

  7. Terraform이 리소스 생성을 마치면 출력된 값을 Panther의 다음 필드에 복사하세요. Azure 구성 제공 Panther 콘솔의 섹션에:

    • 테넌트 ID

    • 클라이언트 ID

    • 스토리지 계정 이름

    • 스토리지 큐 이름

    • 클라이언트 시크릿

      • 클라이언트 시크릿 값은 터미널에서 가려집니다. 보려면 다음을 실행하세요 terraform output secret를 실행하고 따옴표 없이 값을 복사하세요.

        • macOS를 사용 중인 경우, 다음을 실행하세요 terraform output -raw secret | pbcopy 출력하지 않고 값을 복사하려면.

    이 소스 설정 섹션에는 "2. Azure 구성 제공"이 표시되며 Tenant ID, Client ID, Storage Account Name, Storage Queue Name 및 Client Secret에 대한 입력 필드가 있습니다.

  8. Azure Blob 스토리지가 Azure 정부 클라우드에 있는지 퍼블릭 클라우드에 있는지 선택하세요.

  9. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정그런 다음 계속해서 3단계: Panther에서 설정 확인.

hashtag
3단계: Panther에서 설정 확인

3단계: 소스 설정 완료

The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"

  • 성공 화면으로 이동됩니다: 선택적으로 하나 이상의arrow-up-right.

  • 입니다. 데이터가 일정 기간 이후에 로그 소스에서 흐르지 않으면 알림을 받으므로 이 옵션을 활성화된 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다. 아직 하지 않았다면, 클릭하세요 스키마 첨부 또는 추론

  • 사용자를 사용할 것이며, 가 활성화될 수 있습니다 "이벤트가 처리되지 않을 때 알러트를 트리거" 설정의 기본값은

    The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day

hashtag
을 클릭하여 소스에 하나 이상의 스키마를 첨부하세요.

수집된 로그 보기 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 이전에 생성한 Snowflake 사용자 이름, 예를 들면 panther_monitor.

이전Azure 소스다음Event Hub 소스(베타)

마지막 업데이트

도움이 되었나요?