search
Knowledge BaseRelease NotesRequest Demo

AWS Config

AWS 구성(Configuration) 로그를 Panther 콘솔에 연결하기

hashtag
개요

Panther는 Amazon Web Services(AWS) Config의 수집을 지원합니다 구성 스냅샷arrow-up-right 로그를 AWS S3를 통해. Panther는 AWS Config 이력 로그를 지원하지 않습니다.

hashtag
AWS Config 로그를 Panther에 온보딩하는 방법

AWS Config가 구성 스냅샷 로그를 생성하도록 구성된 후 AWS CLI를 통해arrow-up-rightS3 버킷으로 전송됩니다.

circle-info

AWS Config는 구성 이력 파일을 6시간마다 S3 버킷으로 전송하지만 이러한 파일은 수집을 위해 지원되지 않습니다. 대신 구성 스냅샷을 수동으로 트리거하여 S3 버킷으로 전송해야 합니다(이는 정의되어 있더라도 Panther에서 지원됨). 이를 위해 다음 중 하나를 사용할 수 있습니다: deliver-config-snapshotarrow-up-right 명령을 AWS CLI를 통해 또는 DeliverConfigSnapshotarrow-up-right 동작을 AWS Config API에서 호출합니다. 정기적으로 스냅샷 파일을 생성하려면 EventBridge Scheduler, AWS Systems Manager Automation 또는 외부 크론 작업을 사용하는 것을 고려하세요.

자세한 내용은 AWS Config 문서arrow-up-right.

그런 다음 이러한 로그를 Panther로 가져오려면 Panther 콘솔에서 S3 버킷을 설정해야 합니다.

  1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.

  2. 클릭 새로 만들기.

  3. “AWS Config”를 검색한 다음 해당 타일을 클릭하세요.

    • 다음 화면에서 오른쪽 상단의 전송 메커니즘 드롭다운은 다음으로 채워집니다 AWS S3 버킷 옵션.

  4. 클릭 설정 시작.

  5. 다음을 따르십시오 데이터 전송을 위해 S3를 구성하는 Panther 문서.

    • Panther에서 S3 버킷 소스를 구성하는 동안 다음 제외 필터를 구성하세요:

      • *_Config_*ConfigHistory*.json.gz. 이렇게 하면 Panther가 지원되지 않는 Config 이력 로그가 포함된 S3 객체를 무시하도록 보장합니다.

      • */OversizedChangeNotification/*.json.gz. 이렇게 하면 Panther가 지원되지 않는 변경 SNS 알림이 포함된 S3 객체를 무시하도록 보장합니다.

hashtag
Panther 관리 탐지

참조 Panther 관리arrow-up-right AWS에 대한 규칙은 panther-analysis GitHub 리포지토리에 있습니다arrow-up-right.

hashtag
지원되는 AWS Config 로그

hashtag
AWS.Config

AWS 리소스 구성의 스냅샷을 기록하고 평가합니다. 자세한 내용은 참조하세요 Config 작동 방식에 대한 AWS의 문서arrow-up-right.

circle-exclamation

Panther에서 관리하는 AWS.Config 스키마는 이벤트를 configurationItems 인벨로프에서 추출하도록 특별히 설계되었습니다. 이는 AWS에서 전송되는 방식입니다. 이는 S3 키 이름을 기준으로 작동합니다. 이 스키마를 복제하거나 AWS가 이름을 지정하는 방식과 동일하게 명명되지 않은 파일에 적용하려고 하면 분류 실패가 발생할 수 있습니다.

circle-info

이벤트 시간(p_event_time)은 스냅샷이 생성된 시간입니다.

PreviousAWS CloudWatchNextAWS EKS

Last updated

Was this helpful?