Cloud Storage(GCS) 소스
Panther 콘솔에서 GCS를 데이터 전송 로그 소스로 온보딩하기
개요
Panther는 Google Cloud Storage(GCS)를 데이터 전송 수단으로 구성하여 GCS 버킷에서 로그 데이터를 직접 가져오고, 규칙을 작성하고, 처리된 데이터에 대해 쿼리를 실행할 수 있도록 지원합니다. Panther는 Pub/Sub 버킷에 소비할 준비가 된 새 데이터가 있는지 알림을 받기 위해 사용합니다.
Panther는 Google Cloud을 사용하여 소스에 대해 인증할 수 있습니다 Workload Identity Federation 또는 서비스 계정.
데이터는 압축된 상태(또는 압축되지 않음)로 전송될 수 있습니다. 압축 사양에 대한 자세한 내용은 Panther에서 압축된 데이터 수집.
Panther에서 GCS 로그 소스를 설정하는 방법
1단계: Panther에서 GCS 소스 생성 시작
Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.
오른쪽 상단에서 클릭하십시오 새로 만들기.
다음 항목을 클릭하십시오 Google Cloud Storage 타일.
페이지에서 기본 정보 페이지에서 필드를 채우십시오:
이름: GCS 로그 소스에 대한 설명 이름을 입력하십시오.
접두사 및 스키마: GCS에서 데이터 저장 구조에 따라 접두사, 스키마 및 제외 필터의 조합을 정의하십시오.
버킷의 모든 데이터에 하나 이상의 스키마를 연결하려면 GCS 접두사 필드를 비워 두십시오. 이렇게 하면 와일드카드(*) 접두사가 생성됩니다.
클릭 설정.
페이지에서 로그 형식 페이지에서 들어오는 로그의 스트림 유형 을(를) 선택하세요:
자동
라인
JSON
JSON 배열
클릭 계속.
2단계: 생성 필요한 Google Cloud Platform(GCP) 인프라
GCP 인프라를 생성하기 전에 다음을 결정해야 합니다:
인증 방법: 다음을 사용할 수 있습니다 AWS와 함께하는 Google Cloud Workload Identity Federation 또는 서비스 계정—아래의 최상위 탭을 참조하십시오.
생성 방법: Terraform을 사용하여 인프라를 생성하거나 GCP 콘솔에서 수동으로 생성할 수 있습니다—아래 각 최상위 탭 내의 하위 탭을 참조하십시오.
Panther가 Google Cloud 서비스 계정을(를) 사용하여 인증하도록 하려면, 아래 탭 중 하나의 지침을 따르십시오.
Terraform을 사용하여 GCP 인프라를 생성하려면(서비스 계정으로 인증):
페이지에서 인프라 및 자격 증명 페이지에서 서비스 계정 탭을 클릭하십시오.
클릭 Terraform 템플릿 을(를) 클릭하여 Terraform 템플릿을 다운로드하십시오.
또한 Terraform 템플릿은 다음에서 찾을 수 있습니다 이 GitHub 링크.
다음 파일의 필드를 작성하십시오.
panther.tfvars파일에 구성값을 입력하십시오.다음 값을 설정하십시오
authentication_method에서"service_account".
Terraform 구성 파일을 포함하는 작업 디렉터리를 초기화하고 다음을 실행하십시오
terraform init.해당하는 Terraform 명령 을(를) 복사하여 CLI에서 실행하십시오.
다음에 제공된 gcloud 명령 을(를) 복사하여 서비스 계정 이메일 주소 값을 바꾸고 CLI에서 실행하여 JSON 키 파일을 생성하십시오.
서비스 계정 이메일은 Terraform 명령.
서비스 계정으로 인증하여 GCP 콘솔에서 GCP 인프라 구성 요소를 수동으로 생성하려면:
Google Cloud 콘솔에서 Panther가 로그를 가져올 버킷을 결정하십시오.
아직 버킷을 생성하지 않은 경우, 다음을 참조하십시오 버킷 생성에 관한 Google 문서.
알림을 위한 주제 생성 을(를) 생성하십시오.
다음 도구를 사용하여 주제를 생성할 수 있습니다.
gcloudCLI 도구에서 다음 명령 형식을 사용하십시오:gcloud pubsub topics create $TOPIC_ID
버킷을 구성하여 새 파일에 대한 알림을 생성한 주제로 전송하도록 설정하십시오. 새 파일에 대한 알림을 생성하도록 버킷을 구성하십시오.
다음을 사용하여 알림을 생성할 수 있습니다:
gcloudCLI 도구에서 다음 명령 형식을 사용하십시오:gsutil notification create -t $TOPIC_NAME -e OBJECT_FINALIZE -f json gs://$BUCKET_NAME공개 배포 활성화 Panther는 오직
OBJECT_FINALIZE형식만 필요합니다.
구독 생성 을(를) 생성하여 만든 주제와 함께 사용하십시오.
다음 명령을 사용하여 구독을 생성할 수 있습니다:
gcloudCLI 도구에서 다음 명령 형식을 사용하십시오:gcloud pubsub subscriptions create $SUBSCRIPTION_ID --topic $TOPIC_ID --topic-project $PROJECT_ID
이 구독은 다른 서비스나 소스에서 사용해서는 안 됩니다.
새 Google Cloud 서비스 계정 생성. 다음을 사용하여 계정을 생성하려면
gcloudCLI 도구에서 다음 명령 형식을 사용하십시오:계정 이메일 주소를 반드시 기록해 두십시오. Panther는 이 주소를 사용하여 이 GCS 통합을 위해 생성된 인프라에 액세스합니다.
계정에 필요한 IAM 역할을 할당하십시오.
Pub/Sub 구독 및 주제가 존재하는 프로젝트에 대해 다음 권한이 필요합니다:
요구되는 권한
역할
범위
storage.objects.getstorage.objects.listroles/storage.objectViewer버킷-이름
pubsub.subscriptions.consumeroles/pubsub.subscriber구독-이름
pubsub.subscriptions.getroles/pubsub.viewer구독-이름
monitoring.timeSeries.listroles/monitoring.viewerproject
공개 배포 활성화 특정 리소스에 대한 권한에 조건이나 IAM 정책을 설정할 수 있습니다. 이는 서비스 계정의 IAM 페이지에서(아래 예시 스크린샷과 같이) 또는 특정 리소스의 페이지에서 수행할 수 있습니다.
공개 배포 활성화 다음 CLI 도구를 사용하여 권한을 생성할 수 있습니다:
gcloudCLI 도구:gcloud projects add-iam-policy-binding $PROJECT_ID --member="serviceAccount:$SERVICE_ACCOUNT_EMAIL" --role="roles/storage.objectViewer"gcloud projects add-iam-policy-binding $PROJECT_ID --member="serviceAccount:$SERVICE_ACCOUNT_EMAIL" --role="roles/pubsub.subscriber"gcloud projects add-iam-policy-binding $PROJECT_ID --member="serviceAccount:$SERVICE_ACCOUNT_EMAIL" --role="roles/pubsub.viewer"gcloud projects add-iam-policy-binding $PROJECT_ID --member="serviceAccount:$SERVICE_ACCOUNT_EMAIL" --role="roles/monitoring.viewer"
JSON 키 파일 생성 서비스 계정용으로 생성된 이 파일은 Panther에서 GCP 인프라에 인증하는 데 사용됩니다.
gcloud CLI 도구를 사용하여 JSON 키 파일을 생성하려면 다음 명령 형식을 실행하십시오:
gcloud iam service-accounts keys create $KEYFILE_PATH --iam-account=$SERVICE_ACCOUNT_EMAIL또는 위 명령을 로컬 대신 GCP 터미널에서 실행할 수 있습니다.
오른쪽 상단의 점 3개 메뉴 아이콘을 클릭한 다음 다운로드.
찾아보기 위해 폴더 아이콘을 클릭하십시오.
키 파일로 이동하여 선택한 다음, 클릭하십시오 다운로드.
Panther가 다음을 사용하여 인증하도록 하려면: Google Cloud Workload Identity Federation을(를) 사용하여 인증하도록 하려면, 아래 탭 중 하나의 지침을 따르십시오.
Workload Identity Federation으로 인증하여 Terraform을 사용해 GCP 인프라 구성 요소를 생성하려면:
페이지에서 인프라 및 자격 증명 페이지외부 위치 Workload Identity Federation 탭을 클릭하십시오.
클릭 Terraform 템플릿 을(를) 클릭하여 Terraform 템플릿을 다운로드하십시오.
또한 Terraform 템플릿은 다음에서 찾을 수 있습니다 이 GitHub 링크.
다음 파일의 필드를 작성하십시오.
panther.tfvars파일에 구성값을 입력하십시오.다음 값을 설정하십시오
authentication_method에서"workload_identity_federation".다음에 대한 값을 제공하십시오
panther_workload_identity_pool_id,panther_workload_identity_pool_provider_id, 와panther_aws_account_id.
Terraform 구성 파일을 포함하는 작업 디렉터리를 초기화하고 다음을 실행하십시오
terraform init.해당하는 Terraform 명령 을(를) 복사하여 CLI에서 실행하십시오.
제공된 값을 복사하여 프로젝트 번호, 풀 ID 및 공급자 ID 값을 바꾼 다음 CLI에서 실행하여 풀에 대한 자격 구성 파일을 생성하십시오. gcloud 명령 프로젝트 번호, 풀 ID 및 공급자 ID는 다음의 출력에서 찾을 수 있습니다.
GCP 콘솔에서 Workload Identity Federation으로 인증하여 GCP 인프라 구성 요소를 수동으로 생성하려면: Terraform 명령.
대상 버킷에서 Workload Identity Federation 엔터티가 클라우드 스토리지 리소스에 액세스하려면 버킷에서 일관된 버킷 수준 액세스(Uniform bucket-level access)가 활성화되어야 합니다.
Google Cloud 콘솔에서 Panther가 로그를 가져올 버킷을 결정하십시오.
아직 버킷을 생성하지 않은 경우, 다음을 참조하십시오 버킷 생성에 관한 Google 문서.
AWS와 함께 Workload Identity Federation 구성은 다음을 따라 구성하십시오: AWS 또는 Azure와 함께 Workload Identity Federation 구성
알림을 위한 주제 생성 을(를) 생성하십시오.
다음 도구를 사용하여 주제를 생성할 수 있습니다.
gcloudCLI 도구에서 다음 명령 형식을 사용하십시오:gcloud pubsub topics create $TOPIC_ID
버킷을 구성하여 새 파일에 대한 알림을 생성한 주제로 전송하도록 설정하십시오. 새 파일에 대한 알림을 생성하도록 버킷을 구성하십시오.
다음을 사용하여 알림을 생성할 수 있습니다:
gcloudCLI 도구에서 다음 명령 형식을 사용하십시오:gsutil notification create -t $TOPIC_NAME -e OBJECT_FINALIZE -f json gs://$BUCKET_NAME공개 배포 활성화 Panther는 오직
OBJECT_FINALIZE형식만 필요합니다.
구독 생성 을(를) 생성하여 만든 주제와 함께 사용하십시오.
다음 명령을 사용하여 구독을 생성할 수 있습니다:
gcloudCLI 도구에서 다음 명령 형식을 사용하십시오:gcloud pubsub subscriptions create $SUBSCRIPTION_ID --topic $TOPIC_ID --topic-project $PROJECT_ID
이 구독은 다른 서비스나 소스에서 사용해서는 안 됩니다.
속성 매핑 및 조건을 정의할 때 다음 예시를 참고하십시오: 문서.
. AWS에서 발행된 토큰의 속성을 변환하거나 결합하기 위해 assertion.account Common Expression Language (CEL) 식 을(를) 사용할 수 있습니다. 위 표에 제안된 식은 이 제한을 고려한 것이며 ARN을 Panther 엔터티를 고유하게 식별하는 값으로 변환하려는 시도입니다. AWS 속성에 대한 자세한 내용은이 AWS 문서 페이지의 "예시 2 - AssumeRole로 생성된 사용자가 호출함"을 참조하십시오. b. 다음과 같이 풀에 공급자를 추가할 때 특정 리소스에 대한 권한에 조건이나 IAM 정책을 설정할 수 있습니다. 이는 GCP의 IAM 섹션(아래 예시 스크린샷과 같이) 또는 특정 리소스의 페이지에서 수행할 수 있습니다..
CLI 도구에서, $PRINCIPAL_ID에서, 선택하십시오 AWS.
계정에 필요한 IAM 역할을 할당하십시오.
Pub/Sub 구독 및 주제가 존재하는 프로젝트에 대해 다음 권한이 필요합니다:
요구되는 권한
역할
범위
storage.objects.get
storage.objects.list
roles/storage.objectViewer
버킷-이름
pubsub.subscriptions.consume
roles/pubsub.subscriber
구독-이름
pubsub.subscriptions.get
roles/pubsub.viewer
구독-이름
monitoring.timeSeries.list
roles/monitoring.viewer
project
공개 배포 활성화 는 다음과 같은 형태일 수 있습니다:
공개 배포 활성화 다음 CLI 도구를 사용하여 권한을 생성할 수 있습니다:
gcloudprincipalSet://iam.googleapis.com/projects/<THE_ACTUAL_GOOGLE_PROJECT_NUMBER>/locations/global/workloadIdentityPools/<THE_ACTUAL_POOL_ID>/attribute.account/<THE_ACTUAL_PANTHER_AWS_ACCOUNT_ID>gcloud projects add-iam-policy-binding $PROJECT_ID --member="$PRINCIPAL_ID" --role="roles/storage.objectViewer"gcloud projects add-iam-policy-binding $PROJECT_ID --member="$PRINCIPAL_ID" --role="roles/pubsub.subscriber"gcloud projects add-iam-policy-binding $PROJECT_ID --member="$PRINCIPAL_ID" --role="roles/pubsub.viewer"gcloud projects add-iam-policy-binding $PROJECT_ID --member="$PRINCIPAL_ID" --role="roles/monitoring.viewer"자격 구성 파일 다운로드은(는) Panther에서 GCP 인프라에 인증하는 데 사용됩니다.gcloud CLI 도구를 사용하여 자격 구성 파일을 생성하려면 다음 명령 형식을 사용하십시오:
gcloud iam workload-identity-pools create-cred-config projects/$PROJECT_NUMBER/locations/global/workloadIdentityPools/$POOL_ID/providers/$PROVIDER_ID --aws --output-file=config.json3단계: 자격 파일 및 구성값을 Panther에 제공
다음을 사용하여 인증하는 경우:
다음 가져오기 구성 및 JSON 키 파일 제공
을(를) 사용 중이라면, JSON 키 파일을 업로드하십시오.
다음 값을 입력하십시오 Google Cloud 서비스 계정 GCS 버킷 이름
아래 및Pub/Sub 구독 ID,
은(는) Google Cloud 계정의 섹션에서 찾을 수 있습니다.다음을 사용 중이라면 아직 수행하지 않았다면, 클릭하십시오 가져오기 구성 및 자격 구성 파일 제공 구독 을(를) 업로드하여 자격 구성 파일을 업로드하십시오.
클릭 설정. 성공 화면으로 이동합니다:\
선택적으로 하나 이상의 탐지 팩(Detection Packs).
아직 수행하지 않았다면 클릭하십시오 스키마 연결 또는 추론(Attach or Infer Schemas) 소스에 하나 이상의 스키마를 연결하려면.
설정은 이벤트가 처리되지 않을 때 경고 트리거 기본값은 예. 데이터가 일정 기간 이후 로그 소스에서 흐르지 않으면 알림을 받으므로 이 설정을 활성화된 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\
프로젝트 ID Google Cloud Workload Identity Federation GCS 버킷 이름
페이지에서 인프라 및 자격 증명 페이지GCS 버킷 이름 Workload Identity Federation 탭을 클릭하십시오.
아래 Pub/Sub 구독 ID
은(는) Google Cloud 계정의 , 및 가져오기 구성 및 자격 구성 파일 제공 구독 을(를) 업로드하여 자격 구성 파일을 업로드하십시오.
클릭 설정. 성공 화면으로 이동합니다:\
선택적으로 하나 이상의 탐지 팩(Detection Packs).
아직 수행하지 않았다면 클릭하십시오 스키마 연결 또는 추론(Attach or Infer Schemas) 소스에 하나 이상의 스키마를 연결하려면.
설정은 이벤트가 처리되지 않을 때 경고 트리거 기본값은 예. 데이터가 일정 기간 이후 로그 소스에서 흐르지 않으면 알림을 받으므로 이 설정을 활성화된 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\
수집된 로그 보기
Last updated
Was this helpful?