search
Ctrlk
Knowledge BaseRelease NotesRequest Demo

Event Hub 소스

Panther 콘솔에서 Azure Event Hub를 데이터 전송 로그 소스로 온보딩하기

hashtag
개요

Panther는 다음을 구성하는 것을 지원합니다 Azure 이벤트 허브arrow-up-right 를 데이터 전송 수단으로 사용하여 Event Hub 네임스페이스에서 로그 데이터를 직접 가져올 수 있게 하며, 이를 통해 이 처리된 데이터에 대해 탐지를 작성하고 조사를 수행할 수 있습니다.

Panther로 전송되는 데이터는 JSON 또는 일반 텍스트를 포함한 다양한 형식일 수 있습니다.

hashtag
Panther에서 Azure Event Hub 로그 소스를 설정하는 방법

hashtag
사전 요구 사항

  • 다음이 있습니다 Event Hubs 네임스페이스arrow-up-right 그리고 그 안에 Event Hub가 있습니다.

  • 구독에 필요한 Azure 리소스 공급자가 등록되어 있는지 확인합니다:

    1. Azure Portal에 로그인한 후 다음으로 이동합니다 구독.

    2. Event Hub 리소스가 있는 구독을 선택합니다.

    3. 구독 설정 아래에서 다음을 선택합니다 리소스 공급자.

    4. 다음에서 이름으로 필터링 필드에서 다음을 검색합니다 Microsoft.EventHub.

    5. 다음의 상태 열이 Microsoft.EventHub 다음으로 표시되는지 확인합니다 등록됨. 상태가 대신 NotRegistered인 경우 Azure 리소스 공급자 등록arrow-up-right 문서에 설명된 Snowflake SQL 구문을 사용해야 합니다.

hashtag
1단계: Panther에서 Azure Event Hub 구성

  1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요. 구성 > 로그 소스.

  2. 오른쪽 상단에서 다음을 클릭하세요. 새로 만들기.

  3. 다음을 클릭하세요. Azure 이벤트 허브 타일.

  4. 다음 항목에서 기본 정보 페이지에서 다음을 입력합니다:

    • 이름: 로그 소스에 대한 설명적인 이름을 입력합니다.

    • 로그 유형: 이 로그 소스와 연결할 하나 이상의 로그 유형을 선택합니다.

  5. 다음을 클릭하세요. 설정.

  6. 다음 항목에서 로그 형식 페이지에서 다음의 스트림 유형 을 선택합니다:

    • 자동

    • JSON

    • JSON 배열

circle-exclamation

이 Event Hub로 Azure 로그(예: Activity 또는 Resource 로그)를 수집할 계획이라면:

  1. 다음을 선택합니다 JSON 배열.

  2. 다음을 설정합니다 JSON 배열이 필드 안에 포함되어 있습니까? 토글을 .

  3. 다음에서 포함 필드 이름 필드에 다음을 입력합니다 records.

  1. 다음을 클릭하세요. 계속.

    • 다음 구성 페이지가 로드됩니다.

hashtag
2단계: Event Hub에 공유 액세스 정책 추가

Panther가 Event Hub에 액세스할 수 있도록 하려면 공유 액세스 정책arrow-up-rightListen 권한을 만듭니다:

  1. 별도의 브라우저 탭에서 Azure Portal에 로그인한 다음 다음으로 이동합니다 Event Hubs.

  2. 로그가 호스팅되는 Event Hub 네임스페이스를 선택합니다.

  3. 다음 항목에서 개요 페이지의 Event Hubs 섹션에서 온보딩하려는 Event Hub의 이름을 선택합니다.

    Under an "eventhubnamespacenickk" title is a dashboard. An arrow is drawn to a section header reading "Event Hubs (3)."

  4. 다음에서 설정다음을 클릭합니다 공유 액세스 정책.

  5. 다음을 클릭하세요. + 추가 를 클릭하여 새 정책을 만듭니다.

  6. 다음에서 SAS 정책 추가 슬라이드아웃 패널:

    1. 다음에서 정책 이름 필드에 설명적인 이름(예: PantherListener).

    2. 다음을 클릭하세요. Listen 체크박스.

    3. 다음을 클릭하세요. 생성.

  7. 방금 만든 정책의 이름을 클릭합니다.

  8. 다음을 복사합니다. 기본 연결 문자열 값을 복사하여 안전한 위치에 저장합니다. 다음 단계에서 필요합니다.

hashtag
3단계: Panther에서 Azure Event Hub 소스 설정 완료

  1. Panther 콘솔에서 Event Hub 소스 설정으로 돌아갑니다.

  2. 다음 항목에서 구성 페이지에서 다음 구성 값을 입력합니다:

    • 연결 문자열: 다음을 입력합니다. 기본 연결 문자열 값은 이전 단계에서 복사한 값을 사용합니다.

    • (선택 사항) 컨슈머 그룹: 다음을 구성한 경우 컨슈머 그룹arrow-up-right 을 Event Hub에서 지정할 수 있습니다. 그렇지 않으면 기본 컨슈머 그룹인 $Default가 사용됩니다.

      Under a "Configuration" title is the header "Create a Connection string in your Azure Portal." There are two form fields: Connection String and Consumer Group (Optional).

  3. 다음을 클릭하세요. 설정. 성공 화면으로 이동하게 됩니다:

The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"

  • 선택적으로 하나 이상의 디택션 팩arrow-up-right.

  • 아직 하지 않았다면 다음을 클릭합니다 스키마 연결 또는 추론 하여 소스에 하나 이상의 스키마를 연결합니다.

  • 다음 이벤트가 처리되지 않을 때 알러트 트리거 설정 기본값은 . 이 기능은 일정 시간이 지난 후 로그 소스에서 데이터 흐름이 중단되면 알림을 받을 수 있으므로 활성화된 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.

    The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day

hashtag
수집된 로그 보기

로그 소스 구성이 완료되면 다음을 사용하여 수집된 데이터를 검색할 수 있습니다 검색 또는 Data Explorer.

이전Blob Storage 소스다음Panther Log Forwarder(베타)

마지막 업데이트

도움이 되었나요?