# AWS CloudWatch ## 개요 Panther는 Amazon Web Services (AWS)를 수집하는 것을 지원합니다 [CloudWatch 이벤트](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html) 공통 [데이터 전송](https://docs.panther.com/data-onboarding/data-transports) 옵션: AWS S3, AWS SQS 또는 직접 CloudWatch 통합을 통해. Panther는 CloudWatch에 저장된 로그 수집도 지원합니다. 자세한 내용은 다음 문서를 참조하세요 [데이터 전송으로서의 CloudWatch 로그](https://docs.panther.com/ko/data-onboarding/data-transports/aws/cloudwatch). ## AWS CloudWatch 이벤트를 Panther에 온보딩하는 방법 CloudWatch 로그를 Panther로 가져오려면 AWS 계정에서 데이터를 스트리밍하기 위해 Panther 콘솔에서 S3 버킷 또는 SQS 큐를 설정해야 합니다. 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 **구성** > **로그 소스**. 2. 클릭 **새로 만들기.** 3. "AWS"를 검색하여 사용 가능한 로그 소스 목록을 확인하세요. 4. 선택 **AWS CloudWatch 이벤트**. 5. 설정을 시작하려면 소스에 대한 전송 방법을 선택하고 아래 해당하는 Panther 문서를 따르십시오: * [AWS S3 버킷](https://docs.panther.com/ko/data-onboarding/data-transports/aws/s3) * [AWS SQS 큐](https://docs.panther.com/ko/data-onboarding/data-transports/aws/sqs) * [AWS CloudWatch 이벤트](https://docs.panther.com/ko/data-onboarding/data-transports/aws/cloudwatch) CloudWatch 로그를 데이터 전송으로 사용할 때, 로그 소스에 대한 메타데이터를 `p_header` 필드에 보존하도록 선택적으로 봉투 필드 보존을 활성화할 수 있습니다. 이는 각 로그 이벤트가 어디에서 발생했는지에 대한 추가 컨텍스트를 제공합니다. 자세한 내용은 [봉투 필드 보존](https://docs.panther.com/ko/data-transports/aws/cloudwatch#envelope-field-retention) 활성화 방법에 대한 지침을 참조하십시오. ## Panther 제작 디텍션 Panther의 미리 작성된 AWS 룰은 다음에서 확인하세요 [panther-analysis Github 리포지토리](https://github.com/panther-labs/panther-analysis/tree/master/rules). ## 지원되는 AWS CloudWatch 로그 ### AWS.CloudWatchEvents CloudWatch 이벤트는 AWS 리소스의 변경 사항을 설명합니다. 자세한 내용은 다음을 참조하세요 [CloudWatch 이벤트 패턴에 대한 AWS 문서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/CloudWatchEventsandEventPatterns.html). ```yaml 스키마: AWS.CloudWatchEvents 파서: 네이티브: 이름: AWS.CloudWatchEvents 설명: CloudWatch 이벤트는 AWS 리소스의 변경 사항을 설명합니다. 참고URL: https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/CloudWatchEventsandEventPatterns.html 필드: - 이름: id 필수: 예 설명: 각 이벤트마다 고유한 값이 생성됩니다. 이는 이벤트가 룰을 통해 대상까지 이동하고 처리되는 과정을 추적하는 데 도움이 될 수 있습니다. 유형: 문자열 - 이름: account 필수: 예 설명: AWS 계정을 식별하는 12자리 숫자입니다. 유형: 문자열 - 이름: source 필수: 예 설명: 이벤트의 출처가 된 서비스를 식별합니다. AWS 내부에서 생성된 모든 이벤트는 'aws'로 시작합니다. 고객이 생성한 이벤트는 'aws'로 시작하지 않는 한 여기에서 어떤 값도 가질 수 있습니다. Java 패키지 이름 스타일의 역도메인 문자열 사용을 권장합니다. 유형: 문자열 - 이름: resources 필수: 예 설명: 이 JSON 배열에는 이벤트에 관련된 리소스를 식별하는 ARN이 포함됩니다. 이러한 ARN의 포함 여부는 서비스의 재량에 따릅니다. 예를 들어 Amazon EC2 상태 변경에는 EC2 인스턴스 ARN이 포함되고, Auto Scaling 이벤트에는 인스턴스와 Auto Scaling 그룹 모두에 대한 ARN이 포함되지만, AWS CloudTrail을 통한 API 호출에는 리소스 ARN이 포함되지 않습니다. 유형: 배열 요소: 유형: 문자열 - 이름: region 필수: 예 설명: 이벤트가 발생한 AWS 리전을 식별합니다. 유형: 문자열 - 이름: detail-type 필수: 예 설명: source 필드와 결합하여 detail 필드에 나타나는 필드와 값을 식별합니다. 유형: 문자열 - 이름: version 필수: 예 설명: 기본적으로 모든 이벤트에서 이 값은 0(영)으로 설정됩니다. 유형: 문자열 - 이름: time 필수: 예 설명: 이벤트 타임스탬프로, 이벤트를 생성한 서비스에서 지정할 수 있습니다. 이벤트가 시간 간격에 걸쳐 있을 경우 서비스는 시작 시간을 보고할 수 있으므로 이 값이 실제로 이벤트를 수신한 시간보다 상당히 앞설 수 있습니다. 유형: 타임스탬프 시간포맷: rfc3339 - 이름: detail 필수: 예 설명: JSON 객체로, 내용은 이벤트를 생성한 서비스의 재량에 따릅니다. 위 예제의 detail 내용은 매우 단순하여 단 두 개의 필드만 있습니다. AWS API 호출 이벤트는 여러 수준으로 중첩된 약 50개의 필드를 가진 detail 객체를 갖습니다. 유형: json ```