search
Knowledge BaseRelease NotesRequest Demo

AWS Config

AWS 구성(Configuration) 로그를 Panther 콘솔에 연결하기

hashtag
개요

Panther는 Amazon Web Services(AWS) Config의 수집을 지원합니다 구성 스냅샷arrow-up-right 로그를 AWS S3를 통해. Panther는 AWS Config 히스토리 로그를 지원하지 않습니다.

hashtag
AWS Config 로그를 Panther에 온보딩하는 방법

AWS Config가 구성 스냅샷 로그를 생성하도록 구성된 후 AWS CLI를 통해arrow-up-right이들은 S3 버킷으로 전송됩니다.

circle-info

AWS Config는 구성 히스토리 파일을 6시간마다 S3 버킷으로 전송하지만 이러한 파일은 수집을 위해 지원되지 않습니다. 대신 구성 스냅샷(이 정의되어 Panther에서 지원됨)이 S3 버킷으로 전송되도록 수동으로 트리거해야 합니다. 이는 deliver-config-snapshotarrow-up-right 명령을 AWS CLI로 사용하거나 DeliverConfigSnapshotarrow-up-right AWS Config API의 액션을 사용하여 수행할 수 있습니다. 스냅샷 파일을 정기적으로 생성하려면 EventBridge Scheduler, AWS Systems Manager Automation 또는 외부 cron 작업 사용을 고려하세요.

자세한 내용은 AWS Config 문서arrow-up-right.

그런 다음 이러한 로그를 Panther로 가져오려면 Panther 콘솔에서 S3 버킷을 설정해야 합니다.

  1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

  2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.

  3. “AWS Config”를 검색한 다음 해당 타일을 클릭하세요.

    • 다음 화면에서 오른쪽 상단의 전송 메커니즘 드롭다운은 다음으로 채워집니다 AWS S3 버킷 옵션.

  4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정 시작.

  5. 다음을 따르세요 데이터 전송을 위한 S3 구성에 대한 Panther 문서.

    • Panther에서 S3 버킷 소스를 구성하는 동안 다음 제외 필터를 구성하세요:

      • *_Config_*ConfigHistory*.json.gz. 이렇게 하면 Panther가 지원되지 않는 Config 히스토리 로그를 포함하는 S3 객체를 무시하도록 보장합니다.

      • */OversizedChangeNotification/*.json.gz. 이렇게 하면 Panther가 지원되지 않는 변경 SNS 알림을 포함하는 S3 객체를 무시하도록 보장합니다.

hashtag
Panther 관리 디텍션

참조 Panther 관리arrow-up-right AWS용 룰 panther-analysis GitHub 리포지토리arrow-up-right.

hashtag
지원되는 AWS Config 로그

hashtag
AWS.Config

AWS 리소스 구성의 스냅샷을 기록하고 평가합니다. 자세한 내용은 Config 작동 방식에 대한 AWS 문서arrow-up-right.

circle-exclamation

Panther에서 관리하는 AWS.Config 스키마는 AWS에서 도착하는 방식인 configurationItems 엔벨로프에서 이벤트를 추출하도록 특별히 설계되었습니다. 이는 S3 키 이름을 기반으로 작동합니다. 이 스키마를 복제하거나 AWS가 이름을 지정하는 방식과 동일하지 않은 파일에 적용하려고 하면 분류 실패가 발생할 수 있습니다.

circle-info

이벤트 시간(p_event_time)은 스냅샷이 생성된 시간입니다.

이전AWS CloudWatch다음AWS EKS

마지막 업데이트

도움이 되었나요?