> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/aws/config.md). # AWS Config ## 개요 Panther는 Amazon Web Services(AWS) Config [구성 스냅샷](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#config-snapshot) 로그 수집을 AWS S3를 통해 지원합니다. Panther는 AWS Config History 로그는 지원하지 않습니다. ## Panther에 AWS Config 로그를 온보딩하는 방법 AWS Config가 구성 스냅샷 로그를 생성하도록 설정된 후 [AWS CLI를 통해](https://docs.aws.amazon.com/config/latest/developerguide/deliver-snapshot-cli.html)그 로그는 S3 버킷으로 전송됩니다. {% hint style="info" %} AWS Config는 6시간마다 구성 기록 파일을 S3 버킷으로 전송하지만, 이 파일은 수집을 지원하지 않습니다. 대신, 구성 스냅샷을 수동으로 트리거하여( *있거나* Panther에서 지원됨) S3 버킷으로 전송해야 합니다. 이는 다음 중 하나를 사용하여 수행할 수 있습니다. [deliver-config-snapshot](https://docs.aws.amazon.com/cli/latest/reference/configservice/deliver-config-snapshot.html) AWS CLI를 통한 명령 또는 [DeliverConfigSnapshot](https://docs.aws.amazon.com/config/latest/APIReference/API_DeliverConfigSnapshot.html) AWS Config API의 작업입니다. 스냅샷 파일을 정기적으로 생성하려면 EventBridge Scheduler, AWS Systems Manager Automation 또는 외부 cron 작업 사용을 고려하세요. 자세한 내용은 다음을 참조하세요. [AWS Config 문서](https://docs.aws.amazon.com/config/latest/developerguide/how-does-config-work.html#delivery-channel). {% endhint %} 그런 다음 이 로그를 Panther로 가져오려면 Panther Console에서 S3 버킷을 설정해야 합니다. 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그** **소스**. 2. 다음을 클릭합니다: **새로 만들기.** 3. “AWS Config”를 검색한 다음 해당 타일을 클릭하세요. * 다음 화면에서 오른쪽 상단 모서리의 전송 메커니즘 드롭다운이 다음으로 채워집니다. **AWS S3 버킷** 옵션. 4. 다음을 클릭합니다: **설정 시작**. 5. 다음을 따르세요 [데이터 전송을 위해 S3를 구성하는 Panther 문서](/ko/data-onboarding/data-transports/aws/s3.md). * Panther에서 S3 버킷 소스를 구성하는 동안 다음 제외 필터를 구성하세요: * `*_Config_*ConfigHistory*.json.gz`. 이렇게 하면 Panther가 지원되지 않는 Config History 로그가 포함된 S3 객체를 무시하게 됩니다. * `*/OversizedChangeNotification/*.json.gz`. 이렇게 하면 Panther가 지원되지 않는 변경 SNS 알림이 포함된 S3 객체를 무시하게 됩니다. ## Panther가 관리하는 탐지 참조 [Panther에서 관리하는](https://docs.panther.com/detections/panther-managed) 의 AWS 규칙은 [panther-analysis GitHub 저장소](https://github.com/panther-labs/panther-analysis/tree/main/rules). ## 지원되는 AWS Config 로그 ### AWS.Config AWS 리소스 구성의 스냅샷을 기록하고 평가합니다. 자세한 내용은 다음을 참조하세요. [Config 작동 방식에 대한 AWS 문서](https://docs.aws.amazon.com/config/latest/developerguide/how-does-config-work.html). {% hint style="warning" %} Panther에서 관리하는 `AWS.Config` 스키마는 다음에서 이벤트를 추출하도록 특별히 설계되었습니다. `configurationItems` envelope이며, AWS에서 도착하는 방식입니다. 이는 S3 키 이름을 기반으로 작동합니다. 이 스키마를 복제하거나 AWS가 이름을 지정하는 방식과 동일하게 이름이 지정되지 않은 파일에 적용하려고 하면 분류 실패가 발생할 수 있습니다. {% endhint %} {% hint style="info" %} 이벤트 시간(`p_event_time`)은 스냅샷이 생성된 시간입니다. {% endhint %} ```yaml 스키마: AWS.Config fields: - 이름: relatedEvents 설명: RelatedEvents 필드 type: array element: 유형: json - 이름: relationships 설명: Relationships 필드 type: array element: type: object fields: - 이름: resourceId 설명: ResourceId 필드 type: string - name: resourceType 설명: ResourceType 필드 type: string - 이름: name 설명: 이름 필드 type: string - 이름: configuration required: true 설명: Configuration 필드 유형: json - 이름: supplementaryConfiguration 설명: SupplementaryConfiguration 필드 유형: json - name: tags 설명: Tags 필드 유형: json - 이름: configurationItemVersion 설명: ConfigurationItemVersion 필드 type: string - 이름: configurationItemCaptureTime required: true 설명: ConfigurationItemCaptureTime 필드 type: timestamp timeFormat: rfc3339 isEventTime: true - 이름: configurationStateId 설명: ConfigurationStateId 필드 type: bigint - 이름: awsAccountId required: true 설명: AwsAccountId 필드 type: string 표시자: - aws_account_id - 이름: configurationItemStatus 설명: ConfigurationItemStatus 필드 type: string - name: resourceType required: true 설명: ResourceType 필드 type: string - 이름: resourceId 설명: ResourceId 필드 type: string - 이름: resourceName 설명: ResourceName 필드 type: string - 이름: ARN 설명: ARN 필드 type: string 표시자: - aws_arn - 이름: awsRegion 설명: AwsRegion 필드 type: string - 이름: availabilityZone 설명: AvailabilityZone 필드 type: string - 이름: configurationStateMd5Hash 설명: ConfigurationStateMd5Hash 필드 type: string 표시자: - md5 - 이름: resourceCreationTime 설명: ResourceCreationTime 필드 type: timestamp timeFormat: rfc3339 ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/aws/config.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.