Event Hub 소스(베타)
Panther 콘솔에서 Azure Event Hub를 데이터 전송 로그 소스로 온보딩하기
개요
Panther는 Azure Event Hub 를(을) 데이터 전송(Data Transport)으로 구성하여 Event Hub 네임스페이스에서 로그 데이터를 직접 가져오고, 처리된 데이터에 대해 탐지 규칙을 작성하고 조사를 수행할 수 있도록 지원합니다.
Panther로 전송되는 데이터는 JSON 또는 일반 텍스트를 포함한 다양한 형식일 수 있습니다.
Panther에서 Azure Event Hub 로그 소스를 설정하는 방법
전제 조건
다음이 있어야 합니다 Event Hubs 네임스페이스 및 그 안에 Event Hub가 있습니다.
구독에 필요한 Azure 리소스 공급자가 등록되어 있는지 확인하십시오:
Azure 포털에 로그인하고 다음으로 이동합니다 구독(Subscriptions).
Event Hub 리소스가 있는 구독을 선택합니다.
구독 설정에서 다음을 선택합니다 리소스 공급자(Resource providers).
다음의 이름별 필터(Filter by name) 필드에서 다음을 검색합니다
Microsoft.EventHub.다음의 상태(Status) 열이
Microsoft.EventHub다음으로 표시되는지 확인합니다 등록됨(Registered). 상태가 대신 등록되지 않음(NotRegistered)으로 표시되는 경우, Azure 리소스 공급자 등록(Register resource provider) 문서를 따라 등록하십시오.
1단계: Panther에서 Azure Event Hub 구성
Panther 콘솔의 왼쪽 탐색 막대에서 다음을 클릭합니다 구성(Configure) > 로그 소스(Log Sources).
오른쪽 상단 모서리에서 다음을 클릭합니다 새로 만들기(Create New).
타일을 Azure Event Hub 클릭합니다.
다음 기본 정보(Basic Info) 페이지에서 다음을 입력합니다:
이름(Name): 로그 소스에 대한 설명적인 이름을 입력하십시오.
로그 유형(Log Types): 이 로그 소스와 연결할 하나 이상의 로그 유형을 선택하십시오.
다음 버튼을 클릭합니다 설정(Setup).
다음 로그 형식(Log Format) 페이지에서 다음을 선택하십시오 스트림 유형 들어오는 로그의:
자동
라인
JSON
JSON 배열
이 Event Hub로 Azure 로그(예: 활동 또는 리소스 로그)를 수집하려는 경우:
선택 JSON 배열.
설정 JSON 배열이 필드에 둘러싸여 있습니까? 토글하여 예.
다음의 둘러싸는 필드 이름 필드에 입력
레코드.

다음 버튼을 클릭합니다 계속.
The 구성 페이지가 로드됩니다.
2단계: Event Hub에 공유 액세스 정책 추가
Panther가 Event Hub에 액세스할 수 있도록 다음을 생성하세요 공유 액세스 정책 다음 권한으로 수신(Listen) 권한:
별도의 브라우저 탭에서 Azure 포털에 로그인한 다음 다음으로 이동하세요 Event Hubs.
로그가 호스팅되는 Event Hub 네임스페이스를 선택하세요.
다음 개요 페이지에서, Event Hubs 섹션에서 온보딩하려는 Event Hub의 이름을 선택하세요.

아래 설정에서, 클릭 공유 액세스 정책.
다음 버튼을 클릭합니다 + 추가 를 클릭하여 새 정책을 생성하세요.
다음의 SAS 정책 추가 슬라이드아웃 패널:
다음의 정책 이름 필드에 설명적인 이름을 입력하세요(예:)
PantherListener).타일을 수신(Listen) 체크박스.
다음 버튼을 클릭합니다 생성.
방금 생성한 정책의 이름을 클릭하세요.
다음을 복사하세요 기본 연결 문자열 값을 안전한 장소에 저장하세요. 다음 단계에서 필요합니다.
3단계: Panther에서 Azure Event Hub 소스 설정 완료
Panther 콘솔에서 Event Hub 소스 설정으로 돌아가세요.
다음 구성 페이지에서 다음 구성 값을 제공하십시오:
연결 문자열: 다음을 입력하십시오 기본 연결 문자열 이전 단계에서 복사한 값.
(선택 사항) 컨슈머 그룹: 만약 구성한 경우 컨슈머 그룹 Event Hub에 있는 경우, 여기에 지정할 수 있습니다. 그렇지 않으면 기본 컨슈머 그룹인
$Default, 가 사용됩니다.\
다음 버튼을 클릭합니다 설정(Setup). 성공 화면으로 이동됩니다:

선택적으로 하나 이상의 탐지 팩.
아직 수행하지 않았다면, 클릭하십시오 스키마 연결 또는 유추 원본에 하나 이상의 스키마를 연결하려면.
The 이벤트가 처리되지 않을 때 경고 트리거 설정의 기본값은 예입니다. 로그 소스에서 일정 기간 후 데이터 흐름이 중단되면 경고를 받게 되므로 이 설정을 활성화된 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\

수집된 로그 보기
Last updated
Was this helpful?

